VolatilityのTips - S9N2’s blog

環境：Ubuntu 16.04.5 LTS (Windows Subsystem for Linux)

Volatilityの基本コマンドは以下の通りです。

>||

vol.py -f <メモリイメージファイルのパス> --profile=<プロファイル> <コマンド>

||<

(例)

vol.py -f zeus.vmem --profile=WinXPSP2x86 pslist

毎回ファイルのパスとプロファイルを書くのは手間ですので、できる限り省略したいものです。

Volatilityでは次の2通りの方法でファイルのパスとプロファイルを省略できます。

①環境変数を利用する方法

export VOLATILITY_LOCATION=file://<ファイルのパス>

export VOLATILITY_PROFILE=<プロファイル>

(例)

export VOLATILITY_LOCATION=file:///home/s9n2/zeus.vmem

export VOLATILITY_PROFILE=WinXPSP2x86

②設定ファイルを利用する方法

カレントディレクトリにvolatilityrcを作成