Live Forensics | How to Install Volatility 3 on Windows 11 Windows 10 | Symbol Tables Configuration
Summary
TLDRفي هذا الفيديو، يشرح المتحدث كيفية تثبيت واستخدام أداة Volatility Tree على أنظمة Windows 10 وWindows 11. يبدأ بتنزيل Volatility Tree من الموقع الرسمي ويوضح أهمية تثبيت Python 3 قبل البدء. ثم ينتقل إلى تشغيل الأداة عبر PowerShell، لكنه يحذر من أن بعض المكونات الإضافية قد لا تعمل. لحل هذه المشكلة، يشرح كيفية تنزيل جدول الرموز الضروري لتشغيل الأداة بشكل صحيح على نظام Windows. في النهاية، يوضح كيفية تحليل ملفات تفريغ الذاكرة باستخدام الأداة واستخدام بعض الإضافات مثل PSList وNetScan لتحليل النظام.
Takeaways
- 😀 كيفية تثبيت Volatility 3 على Windows 10 و 11 بسهولة.
- 🐍 يجب تثبيت Python 3 على الجهاز قبل تشغيل Volatility 3.
- 💻 تحميل الإصدار 1.00 من Volatility 3 وفك الضغط عنه في محرك C.
- 📂 تأكد من تشغيل Volatility باستخدام PowerShell والانتقال إلى مجلد Volatility.
- ⚠️ يجب تحميل جدول الرموز (Symbols Table) الخاص بـ Windows وتحميله إلى مجلد Volatility.
- 💾 كيفية إنشاء ملف تفريغ الذاكرة (Memory Dump) باستخدام أداة FTK Imager.
- 🔍 تحليل ملف تفريغ الذاكرة باستخدام Volatility للعثور على كلمات المرور واتصالات الشبكة.
- 🔄 استخدام مكونات Volatility مثل 'windows.info' و 'pslist' لتحليل ملفات الذاكرة.
- 📊 عند تحميل جدول الرموز، يتم تشغيل معظم المكونات بنجاح على Windows.
- ✅ التأكيد على أن جميع الخطوات مضمونة للعمل إذا تم اتباع التعليمات بعناية.
Q & A
ما هي المشكلة التي يواجهها العديد من المستخدمين عند تثبيت Volatility 3 على ويندوز 10 أو 11؟
-المشكلة تكمن في عدم تشغيل بعض المكونات الإضافية (plugins) بشكل صحيح، خاصة عند محاولة تشغيل أوامر مثل PSList أو NetScan.
ما هو الإصدار الذي ينصح باستخدامه في الفيديو من أداة Volatility؟
-ينصح باستخدام الإصدار 3.0 من Volatility والمعروف باسم Volatility 3.
ما هي الخطوة الأولى التي يجب القيام بها قبل تشغيل Volatility 3؟
-يجب التأكد من تثبيت Python 3 على الجهاز، حيث أن Volatility 3 يتطلب Python 3 للعمل.
كيف يمكن تحميل Python 3 إذا لم يكن مثبتًا على الجهاز؟
-يمكن تحميل Python 3 من الموقع الرسمي Python.org، حيث يمكن تنزيل الإصدار المناسب وتثبيته بسهولة.
أين يجب حفظ الملفات بعد تنزيل Volatility 3؟
-يجب حفظ الملفات بعد فك الضغط عنها في محرك الأقراص C على الجهاز، ثم الوصول إليها عبر Powershell.
ما هي المشكلة الشائعة عند تشغيل Volatility على نظام ويندوز؟
-بعض المكونات الإضافية (plugins) قد لا تعمل بشكل كامل عند تشغيل Volatility على نظام ويندوز.
ما هو الحل لتشغيل المكونات الإضافية على نظام ويندوز؟
-يجب تنزيل ملفات الرموز (symbols) الخاصة بويندوز من GitHub وحفظها في المجلد المناسب داخل مجلد Volatility 3.
ما هو حجم ملف الرموز (symbols) الذي يجب تنزيله؟
-حجم ملف الرموز حوالي 800 ميجابايت.
كيف يمكن إنشاء نسخة من الذاكرة (Memory Dump) لتحليلها؟
-يمكن استخدام أداة FTK Imager لإنشاء نسخة من الذاكرة عبر اختيار File ثم Capture Memory، وتحديد الموقع لحفظ النسخة.
كيف يتم تشغيل Volatility لتحليل ملف الذاكرة؟
-يتم تشغيل Volatility عبر كتابة الأمر في Powershell: `python volatility.py -f` متبوعًا بمسار ملف الذاكرة المراد تحليله، ثم استخدام المكونات الإضافية مثل Windows.info أو PSList لتحليل البيانات.
Outlines
🔧 كيفية تثبيت Volatility Tree على Windows 11
في هذا القسم، يشرح المتحدث مشكلة تواجه العديد من الأشخاص عند تثبيت Volatility Tree على نظامي Windows 10 وWindows 11، وخاصة عند تشغيل بعض المكونات الإضافية مثل PS list وNet scan. ثم يقدم خطوات تنزيل وتثبيت Volatility Tree، حيث يوفر الرابط في الوصف. يُنصح بالتأكد من تثبيت Python 3 قبل البدء في استخدام الأداة.
💻 إعداد Volatility Tree وتشغيله عبر PowerShell
يلخص هذا القسم كيفية تنزيل ملف Volatility Tree وإعداده على نظامك، بما في ذلك عملية فك الضغط واستخراج الملفات. بعد ذلك، يوضح المتحدث كيفية تشغيل الأداة باستخدام PowerShell، مع توضيح الأوامر المطلوبة للوصول إلى الملفات وتشغيل Volatility من خلال Python.
🚨 التعامل مع مشكلة تشغيل Volatility Plugins على Windows
يواجه المستخدمون مشكلة عند محاولة تشغيل بعض المكونات الإضافية (Plugins) الخاصة بـ Volatility على نظام Windows. يوضح المتحدث أنه لا توجد تعليمات واضحة حول هذه المكونات على موقع Volatility الرسمي، ويشير إلى مشروعهم على GitHub حيث يتم تقديم حلول لهذه المشكلة.
💾 كيفية تنزيل ملفات الذاكرة Windows Symbols
في هذا القسم، يشرح المتحدث كيفية تنزيل ملفات رموز الذاكرة الخاصة بـ Windows التي تحتاجها لتشغيل بعض المكونات الإضافية في Volatility. حجم الملف يبلغ 800 ميجابايت ويجب نسخه إلى المجلد المناسب داخل مجلدات Volatility.
🧠 كيفية إنشاء وتخزين Memory Dump
يشرح هذا القسم كيفية إنشاء Memory Dump باستخدام أداة FTK Imager. يعرض المتحدث خطوات بسيطة لإنشاء نسخة من ذاكرة الوصول العشوائي (RAM)، ولكن يشير إلى وجود مقاطع فيديو أخرى على قناته توضح هذه العملية بالتفصيل.
📂 تشغيل Volatility على ملفات Memory Dump
هنا، يعرض المتحدث كيفية استخدام Volatility لتحليل ملفات Memory Dump، بدءًا من تحديد موقع الملف واستخدام الأوامر اللازمة لتشغيل التحليل. يوضح أيضًا استخدام بعض المكونات الإضافية مثل PS list وNet scan لتحليل الاتصالات والشبكات.
🎉 تأكيد نجاح تشغيل Volatility
في النهاية، يؤكد المتحدث أن جميع المكونات الإضافية التي تم تثبيتها تعمل بشكل سليم بعد اتباع الخطوات السابقة، وخاصة بعد حفظ ملف الرموز الضخم في المجلدات الصحيحة. ويشير إلى أن التحليل يجب أن يعمل بنجاح على Windows 10 وWindows 11.
Mindmap
Keywords
💡Volatility
💡Memory Dump
💡FTK Imager
💡Python
💡Windows Plugins
💡PowerShell
💡Symbol Tables
💡PSList
💡NetScan
💡Forensics
Highlights
Issue with installing Volatility 3 on Windows 11 or 10, especially with certain plugins like PS list and net scan.
Volatility 3 needs Python 3 installed before use; download Python 3 from python.org.
Volatility 3 version 1.00 can be downloaded from the Volatility project website.
After downloading, the Volatility 3 zip file needs to be extracted to the C drive.
To run Volatility, use Powershell and navigate to the location of the Volatility files.
Volatility 3 is confirmed to be installed if the command 'python.exe Volatility.py' runs without errors.
Plugins might not run by default on Windows, as mentioned on the Volatility website.
To analyze Windows memory dumps, a specific 'Windows File' from Volatility's GitHub needs to be downloaded.
This file, about 800 MB, should be placed in the 'Volatility 3/symbols' folder.
FTK Imager can be used to create a memory dump, by selecting 'capture memory' and saving the dump file.
Memory dumps are used to analyze network connections, passwords, and more.
To run analysis, use 'python Volatility.py -f <memory_dump_file>' followed by the desired plugin.
Volatility 3 works with Windows 7, 10, and 11, though some plugins may not run consistently on Windows 11.
Running PS list and net scan shows successful results after placing the necessary symbols file.
The JSON file format is used for symbols in Volatility 3 to allow the program to access Windows information.
Transcripts
many of you have an issue installing
volatility tree
in Windows 11 or Windows
10.
especially
when you run Windows PS list
or Windows
net scan or any of these plugin
in this video I'm going to show you how
to install
volatility tree
and demonstrate
its work with Windows 11 within windows
11.
let's start
to download volatility I will keep the
link in the description
within the volatility project you need
to go to downloads
and you will find these two tabs
volatility true and volatility a tree
we're going to choose for 33 but listen
over 33 version 1 and it's using python
3. mean before you install or run filter
3 you have to have Python 3 installed in
your machine
to get Python 3 if you don't have Python
3 you just need to go to
python.org download and here's a
download Python 3 okay download python
3. download that install it it's
straightforward doesn't take long to
install its depend on your internet
speed
sorry about my voice I got
a little flu I think let's go back to
volatility tree and the file we need to
download is this one download the for
the 33 version 1.00
uh let let me click on that
and this will be downloaded in my
um my machine let me grab it
I have it
continue
here is it in
it's here I just download in the C drive
it's for the 33
and then first thing you need to unzip
it extract
I was extract it in my machine here for
little T3 I think there is another one
here I don't know why there's two but
let me just make it like this
I think because already before I done
the video I tried to download it before
okay over 33 and this will be extracted
to your C drive for my in my case
in just seconds okay depends on your
computer speed and once once it's
extracted you will find in C drive for
the 33
double click on it and then double click
again you'll find volatility dot python
or return.pi
but remember
before we run volatility as he said you
need to have python let's run volatility
using Powershell just type Powershell
and run your power shell
uh
you can
type like what you do in Linux CD and go
straight away to where my volatility is
saved
and hit enter
LS
and we can find volatility.pi and what
you need to type is python
python.exe or sometime just p y okay or
sometimes just p y and volatility Dot py
and hit enter and this confirmed to us
volatility is installed in your machine
but however wait this is the tricky
thing okay this is a tricky thing
we try to run volatility on Windows
machine to an eyes with this machine it
will not all of plugins will not run if
we go back to further 30 website the
volatility website
and there is nothing said here about
plugins for Windows I went to I went to
their project in GitHub go to volatility
I will keep the link also on the
description for 33 go down
go down and then Dimension here simple
table okay simple table you need if you
analyze you're going to analyze when
this memory dump you need to download
this Windows File okay and save it on
volatility three symbols download it I
think it's
800 gigabyte already I have it in my
machine download it and then let me find
it
here is that it's 800 megabyte
800 megabyte copy this one
into
folder called volatility tree volatility
inside volt 33 volt 33 433 three times
and then I think in the simple okay let
me go back and descend the symbols
just
copy it here and that's it don't do
anything okay you don't do you don't
need to do anything
for now I'm going to analyze memory dump
okay I'm going if you need to create
memory dump it's easy you can use ftk
measure use ftk measure uh I will show
you right now very quickly how to create
memory dump okay
just click file
and then capture memory
and then just type the destination where
you need to save it and then
click on capture by doing this one you
are going to capture a memory copy you
are going to create a copy of your RAM
okay I'm not going to do that because
already I have a copy of memory dump if
you if you need to know how you can go
to another videos in my channel to show
you how to create a memory dump using
ftk measure and other tools and how you
can analyze and how you can analyze
um
these memory dumps and how you can find
passwords network connections and so on
let's get to volatility again
now let me save the memory dump here in
Florida 33 Okay let me save it here
as we said
uh now
let me run the volatility again we have
uh we just type python variety dot pi
and then
minus F of Dash F and then the file
location the minimum dump file location
this is the memory Dom I will go just
copy and go paste and then slash the
memory dump called memory dumb dot EMA
okay this is the file okay then with
windows with volatility is different
than folder 32 okay it's easier okay
when does when those then info that's
the first plugin I'm going to use okay
and if I hit
run
it runs okay it runs
if let's try
um BS list but before I run BS list what
you can find here this one will read
them is from Windows 7 okay you can you
can generate from Windows 10 you can
generate from any other uh
any other
memory I think I got
passing
um
just let me find maybe yeah I don't have
another memory though but try it
yourself it should work okay
how would you understand and when it's
11. if I do PS list it may work and may
not okay but here is it it works it
works Piece list it works let's try
another one Let's scan
knit scan
and it works okay all all the plugins
they should work okay all the plugins
they should work because already
we have a simple table that copy of the
large file the 800 megabyte file we
saved on the Vol 33 samples and windows
uh this is the location from where uh
from where
voltage tree can access Json files okay
you can access Json files
by following my step I am hundred
percent sure that it should work with
you and very easy and simple pass it up
[Music]
5.0 / 5 (0 votes)