前置准备

  • 安装 Python: 确保你安装了 Python 3.8 或更高版本
    • 下载地址:python.org
    • 重要:在安装时,务必勾选 “Add Python to PATH” 选项,否则后续命令无法运行。
  • 验证安装: 打开命令提示符(CMD)或 PowerShell,输入:
    1
    python --version
    如果显示版本号,则安装成功。

安装 Volatility 3

打开 CMD 或 PowerShell,输入以下命令:

1
pip install volatility3

如果下载速度慢,可以使用国内镜像源:

1
pip install volatility3 -i https://pypi.tuna.tsinghua.edu.cn/simple

安装完成后,输入以下命令检查是否成功:

1
vol -h

如果输出了帮助信息,说明安装成功。

报错问题

安装到这个地方,你肯定已经报出来了什么系统找不到指定的驱动器之类的,接下来就教大家怎么解决这个问题

方案一:手动查找并运行生成的脚本

pip 安装后会在 Scripts 目录下生成可执行文件。根据您的 Python 路径,脚本应该在:
...\Python\Python313\Scripts\(代码块里面的...用来指代你的具体python路径,实在不知道怎么找自行百度)

  1. 打开资源管理器,进入上述目录。

  2. 查找名为 vol.exe 的文件。

  3. 直接拖拽 vol.exe 文件到 CMD 窗口,或者双击运行。

    或者在 CMD 中运行完整路径:

    1
    ...Python\Python313\Scripts\vol.exe -h

方案二:创建批处理文件

  1. 在你的用户目录下创建一个名为 vol.bat 的文件:

  2. 打开记事本,粘贴以下内容:

    1
    2
    @echo off
    "...Python\Python313\Scripts\vol.exe" %*

  3. 保存文件名为 vol.bat,保存位置选你的用户主目录。

  4. 打开一个新的 CMD 窗口,输入以下命令并回车:

    1
    cd /d C:\

  5. C:\> 目录下,再次尝试运行 bat 文件(把它放在用户目录):

    1
    ...vol.bat -h

方案三:重新安装

非常简单粗暴的一种方法,但不建议,比较根本问题没有解决怎么重装都没有用

基本用法

  1. 查看支持的系统配置文件(自动检测):

    1
    vol -f <内存镜像文件路径> windows.info

  2. 查看进程列表

    1
    vol -f <内存镜像文件路径> windows.pslist

  3. 查看网络连接

    1
    vol -f <内存镜像文件路径> windows.netstat