在新版 Kali Linux 上部署 Volatility 2 的安装流程

在新版 Kali Linux (已知为 2024 及以后的版本) 上安装 Volatility 2 时会遇到很多麻烦，于是想要整理一篇成功的安装流程，以便后续重装。

安装

经过我的一番摸索，使用新版 Kali 安装 Volatility 2 的步骤如下。安装期间你需要有一个良好的网络连接。

1. 更换清华源
   请参照：kali | 镜像站使用帮助 | 清华大学开源软件镜像站 | Tsinghua Open Source Mirror ，修改 /etc/apt/sources.list 文件。

2. 切换至 root 用户，并更新软件源

   sudo su
   apt update

3. 安装 pip2

   wget https://bootstrap.pypa.io/pip/2.7/get-pip.py
   python2 get-pip.py

4. 安装 Volatility 2 本体

   git clone https://github.com/volatilityfoundation/volatility.git
   cd volatility/
   python2 setup.py install

   此时可以退出 volatility 目录。

   cd ..

5. 安装相关依赖

   由于新版 Kali 无法使用 pip2 自动安装依赖 distorm3 和 construct，所以只能手动下载源码、手动安装

   1. 安装 Python2 的相关编译依赖库

      apt install python2-dev

   2. 安装 pycryptodome

      pip2 install pycryptodome -i https://pypi.tuna.tsinghua.edu.cn/simple

   3. 安装 distorm3

      git clone https://github.com/vext01/distorm3.git
      cd distorm3/
      python2 setup.py install

      此时可以退出 distorm3 目录。

      cd ..

   4. 安装 construct
      这里一定要用 2.10.54 版本的 construct：construct/construct at v2.10.54

      wget https://github.com/construct/construct/archive/refs/tags/v2.10.54.zip
      unzip v2.10.54.zip
      cd construct-2.10.54/
      python2 setup.py install

      此时可以退出 construct-2.10.54 目录。

      cd ..

6. 安装 mimikatz 插件
   下载 mimikatz.py ，将其放到 volatility/volatility/plugins 目录中即可。

   cd volatility/volatility/plugins
   wget https://github.com/RealityNet/hotoloti/raw/refs/heads/master/volatility/mimikatz.py

后记

本文的方案在 kali-linux-2024.3-vmware-amd64 kali-linux-2025.2-vmware-amd64 版本上测试有效。

其实关于内存取证，更推荐使用 MemProcFS：既不需要虚拟机，也不需要输入繁杂的命令。