volatility源码安装

很遗憾，kali2021及以上的版本不再包含volatility需自行安装，官网有linux可执行文件，下载后复制到/usr/sbin/（root程序）或者/usr/local/bin/（本地增加的命令）等等默认包含在环境变量的位置都行，最后改名volatility（文件夹和里面的可执行文件）方便使用，问题在于无法额外安装插件（反正我不会，谁会教教我）。

源码下载，有volatility2、volatility3两个版本，分别对应python2、python3。

恕我直言，虽然volitility3封装的比2好太多，下载以后装pycrypto、distorm3、yara（同下文）、pefile、capstone即可成功运行。由于封装，所以插件名都改了一下（比如imageinfo就没了），很多命令得重新对应，有官方文档，-h也是个好东西，至于优劣自己看吧（我只想用profile=…谁在乎系统版本号就是那个NTBuildLab啊喂，当然是因为我太菜）

以下只说volatility2的安装

**0.**安装pip2对应python2

**1.**下载解压

2.直接python2 vol.py -info试运行，报一堆错很正常，如下图，重点在括号里的包名，必须的依赖有pycrypto、distorms、yara，可选插件有PIL、OpenPyxl、ujson，全部使用pip2 install [包名]安装，因为网速崩了的话记得换国内源。

报错如下图，执行pip2 install --upgrade pip setuptools

之后可能是这个报错，执行sudo apt-get install python2-dev

现在安装应该没有问题了（中途别切换kali和root账户因为安装位置不一样？反正会有问题）

注意安装yara时使用pip2 install yara-python，否则会安装成yaractypes继续报yara的错误

可以成功运行了！不再出现报错，会列出一大堆镜像文件目录，插件目录balabala

**3.**环境变量配置

百度都说源码下好了就能直接运行，反正我是不行，环境变量配了半天还是python2: can't open file 'vol.py': [Errno 2] No such file or directory，我放弃了。

针对linux可执行文件：

法一：export PATH=[位置]:$PATH，在终端关闭后就会消失，我这根本没生效。

法二：vim /etc/profile，在最后，添加export PATH="[位置]:$PATH"，我这会提示zsh: 权限不够: vol.py。

或者vim /etc/environment，在path=那一串后面加上位置

这两种在重启后都会消失，因为对kali2020及以上版本而言，默认的shell变为了zsh(即z shell)，故修改$HOME/.zshrc为当前用户配置环境变量，修改/etc/zsh/zshrc为全局用户配置环境变量，添加的代码与 /etc/profile相同。

**4.**如果需要在其他的Python脚本中import volatility，则需要进行安装

$ python setup.py build
$ python setup.py install

至于volatility3里的那些shell、spec没仔细看，我不知道嘿嘿，大佬加油。

就这些了，环境变量谁会配教教我😭，如果还有其他错误可以问我试试，没准是安装太多天忘记写了，也可能只有我出现了这么多问题🙂