sk4la/volatility3 Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
sk4la/volatility3sk4la
基于Alpine Linux的Volatility框架Docker镜像,包含Volatility 3及社区插件、官方符号表,支持Windows/macOS/Linux内存取证分析,提供便捷的容器化内存分析环境。
1 次收藏下载次数: 0状态:社区镜像维护者:sk4la仓库类型:镜像最近更新:23 天前
Volatility Docker镜像 🐳
本仓库提供基于Alpine Linux的即用型Docker镜像,内置Volatility框架,包括最新的Volatility 3。更多信息请查看官方Volatility和Volatility 3仓库。
所有镜像均可在Docker Hub直接获取:
顺便一提,为何这些镜像尚未成为官方镜像?
包含内容
sk4la/volatility3⭐(版本2.26.2,2025年9月发布)- 官方Volatility 3项目的最新版本
- Volatility 3的社区维护插件
:warning: 由于许多社区插件是一次性概念验证贡献或由各自作者独立维护,此镜像仅包含volatilityfoundation/community3仓库明确引用的代码,不一定包含所引用插件的实际代码。
- Volatility基金会提供的Windows、macOS和GNU/Linux官方符号表
- JPCERT/CC提供的符号表,支持Windows 11+
latest和stable标签以及具体版本号(如2.26.2)均指向最新官方发布版。为跟踪Volatility 3的开发周期,添加了edge标签,指向master分支的当前状态,可能不稳定。高级用户可自行使用此标签。sk4la/volatility3和sk4la/volatility3:edge镜像每周构建,以包含最新符号表。
-
sk4la/volatility- 官方Volatility项目的最新版本(2020年起停止维护)
- Volatility的社区维护插件
-
sk4la/dwarf2json- 官方dwarf2json项目
如发现缺少内容或希望添加其他功能,请告知。
快速开始
构建和/或使用这些镜像需要在系统上安装Docker。有关安装和使用Docker工具链的详细信息,请参考官方文档。
构建镜像
由于这些镜像通过GitHub Actions构建,构建步骤未在此处详细记录。如希望本地构建,请直接参考CI工作流。
:warning: 请注意,Volatility 3的符号包直接嵌入
sk4la/volatility3镜像,导致镜像体积较大。有关详情,请查看我在官方仓库的拉取请求。
基本使用
拉取(或构建)镜像后,可使用docker run命令在新容器中实例化,例如:
shdocker run -v $PWD:/workspace sk4la/volatility3
更完整的示例:
shdocker run -v $PWD:/workspace sk4la/volatility3 -f /workspace/volatile.mem windows.pslist
如需使用Volatility shell(即volshell)或其他入口点,实例化容器时使用--entrypoint选项:
shdocker run -it -v $PWD:/workspace --entrypoint volshell sk4la/volatility3 -f /workspace/volatile.mem
需要
--interactive和--tty选项(或其短格式-i和-t)以保持终端打开,以便与容器化应用交互。
请注意,除非使用卷或绑定挂载(如示例中使用--volume选项),否则所有生成的文件都将丢失。
由于确定正确的内存布局通常需要一些时间,以交互方式运行Volatility(即使用
--interactive标志实例化容器)是首选,尽管也可通过卷检索配置文件。有关实际用例,请参见示例。
示例
这些镜像可交互使用,也可作为一次性解决方案处理特定问题。
示例 #1:使用Volatility3命令行界面(CLI)的交互式会话
示例 #1:使用Volatility3命令行界面(CLI)的交互式会话
以下是使用Volatility 3(具体为sk4la/volatility3 Docker镜像)从易失性内存镜像中提取进程可执行文件的实际示例。
:bulb: 此处特意使用长选项。有关Docker CLI的更多详情,请参考官方文档。
首先,基于sk4la/volatility3镜像实例化新容器:
shdocker container run --entrypoint ash --interactive --tty --volume "$PWD:/workspace" --workdir /workspace sk4la/volatility3
然后,在新创建的容器内,使用Volatility 3解析内存镜像并将配置写入磁盘:
shvolatility3 --file volatile.mem --log volatile.mem.log --renderer pretty --save-config volatile.mem.json windows.info
配置文件volatile.mem.json可作为后续运行的基础,使用--config标志,使Volatility无需再次扫描镜像以查找正确结构。
接下来,使用先前生成的配置再次执行Volatility 3,提取进程列表:
shvolatility3 --config volatile.mem.json --file volatile.mem --log volatile.mem.log --renderer pretty windows.pslist
为便于后处理,通常将结果转储为CSV或JSON格式:
shmkdir volatile.mem.results volatility3 --config volatile.mem.json --file volatile.mem --log volatile.mem.log --quiet --renderer csv windows.pslist | tee -a volatile.mem.results/pslist.csv
文件~/workspace/volatile.mem.results/pslist.csv应包含windows.pslist.PsList插件的CSV格式结果。
要转储进程镜像,首先创建一个目录用于存放所有后续提取内容,然后再次执行Volatility,使用相同的windows.pslist.PsList插件,但添加--dump标志:
shmkdir volatile.mem.dat volatility3 --config volatile.mem.json --file volatile.mem --log volatile.mem.log --output-dir volatile.mem.dat --renderer pretty windows.pslist --dump --pid 2700
二进制样本应位于~/workspace/volatile.mem.dat目录中,可供***工程师分析。
实际上,所有“转储器”插件(即能够从内存镜像中转储原始内容的Volatility插件)都应支持--output-dir选项,这在分析工作流中非常方便。
Volatility虽详细但错误提示不一定精确。当出现错误时,应提高详细级别(例如使用
-vvv)以获取最大详细信息,如有必要,可在官方Volatility 3仓库提交问题。
示例 #2:使用pdbconv为特定NT内核构建生成ISF文件
示例 #2:使用pdbconv为特定NT内核构建生成ISF文件
这非常简单,只需使用pdbconv入口点实例化基于sk4la/volatility3镜像的新容器:
shdocker container run --entrypoint pdbconv --volume "$PWD:/workspace" --workdir /workspace sk4la/volatility3 --guid ce7ffb00c20b87500211456b3e905c471 --keep --pattern ntkrnlmp.pdb
这将在当前工作目录中生成中间符号文件(ISF) ce7ffb00c20b87500211456b3e905c47-1.json.xz,提示Volatility如何处理此特定构建以检索信息。
注意,这将从官方Microsoft Internet Symbol Server获取正确的PDB文件,因此此方法在隔离环境中无法使用。有关如何从自己的二进制文件中检索GUID以及在隔离环境中使用Volatility 3的更多详情,请参见JPCERTCC的仓库和博客文章。
ISF文件必须放置在主符号目录(默认位于$INSTALL_PREFIX/lib/volatility3/volatility3/symbols/windows)或当前工作目录的symbols子目录中(例如./symbols/windows/ntkrnlmp.pdb/ce7ffb00c20b87500211456b3e905c47-1.json.xz)。也可结合使用--symbol-dirs选项和Docker的--volume选项,向Volatility提供新创建的ISF文件。
示例 #3:在隔离环境中使用Docker镜像
示例 #3:在隔离环境中使用Docker镜像
本节说明如何在隔离(或断开连接)环境中使用Docker镜像。这在隔离取证实验室中分析易失性内存样本时非常有用。
:bulb: 此过程并非特定于此仓库中的Docker镜像,可用于任何Docker镜像。
首先,在本地获取镜像(此处以sk4la/volatility3为例):
shdocker image pull sk4la/volatility3
然后,将其导出为压缩tar存档:
shdocker image save sk4la/volatility3 | gzip --best --stdout > sk4la-volatility3-latest.tar.gz
压缩(此处使用GNU
gzip)不是必需的,但对于较大的镜像通常建议使用,因为它通常可以节省大量空间,尽管会牺牲速度。
生成的存档应在当前目录中显示为sk4la-volatility3-latest.tar.gz。
然后可将此压缩镜像传输到隔离工作站(例如使用USB闪存驱动器),并按如下方式加载:
shgzip --decompress --stdout sk4la-volatility3-latest.tar.gz | docker image load
然后镜像应准备就绪。可通过运行以下命令检查系统上镜像的存在:
shdocker image list
示例 #4:自定义Docker镜像以满足需求
示例 #4:自定义Docker镜像以满足需求
如果认为原始镜像缺少有用内容,可通过提交工单提出建议,或自行基于基础镜像构建以适应需求。
为此,只需创建一个基于此仓库中某个镜像的新Dockerfile,例如sk4la/volatility3:
dockerFROM sk4la/volatility3 USER root RUN apk add $STUFF USER unprivileged
默认情况下,此仓库中提供的所有镜像均不以
root用户运行,而是以unprivileged用户运行。对于需要超级用户权限的操作,需临时切换用户,如示例所示。
然后,通过执行docker image build --tag volatility3-overloaded .命令构建镜像。新创建的Docker镜像应出现在本地仓库中。
如需了解设置方式,可查看原始
Dockerfile。
示例 #5:在Volatility 2中使用社区插件
示例 #5:在Volatility 2中使用社区插件
sk4la/volatility镜像包含来自官方volatilityfoundation/community仓库的所有社区插件。默认情况下,这些插件存储在/usr/local/share/volatility/plugins/community。
可使用
--help或--info标志列出所有包含的插件(例如podman run sk4la/volatility:edge --plugins=/usr/local/share/volatility/plugins --info)。加载顺序不确定,有些插件因缺少依赖项(有些不再在PyPI上)或设计不适合分发而无法加载,因此可能需要多次运行才能加载所需插件。建议单独使用每个插件,以避免加载功能异常的插件。
要加载特定社区插件(以JPCERT的APT17插件为例):
shdocker container run sk4la/volatility:edge --plugins /usr/local/share/volatility/plugins/community/JPCERT apt17scan --help
请注意,许多为Volatility 2开发的插件已多年未维护,可能无法正常工作。
示例 #6:在Volatility 3中使用社区插件
示例 #6:在Volatility 3中使用社区插件
sk4la/volatility3和sk4la/volatility3:edge镜像包含来自官方volatilityfoundation/community3仓库的所有社区插件。默认情况下,这些插件存储在/usr/local/share/volatility3/plugins/community3。
可使用
--help标志列出所有包含的插件(例如podman run sk4la/volatility3:edge --plugin-dirs=/usr/local/share/volatility3/plugins --help)。请注意,许多插件已长时间未维护,可能无法正常工作。建议单独使用每个插件,以避免加载功能异常的插件。
要加载特定社区插件(以Multi YARA插件为例):
shdocker container run sk4la/volatility3:edge --plugin-dirs /usr/local/share/volatility3/plugins/community3/Silva_Multi_Yara/ multiyara --help
支持
如遇到与这些Docker镜像相关的问题或想提出新功能建议,请提交工单。也欢迎拉取请求。
许可证
本软件根据Volatility软件许可证授权。
ctftools/volatility3
ctftools
暂无描述
1万+ 次下载
2 天前更新
antrea/windows-utility-base
antrea
Antrea Agent在Windows上的中间构建镜像,现已弃用,目前保留用于支持旧版Antrea的维护版本,未来将被删除。
4 次收藏1万+ 次下载
1 年前更新
ctftools/volatility
ctftools
暂无描述
1万+ 次下载
2 天前更新
biocontainers/phyutility
biocontainers
暂无描述
7.6千+ 次下载
6 年前更新
ddev/ddev-utilities
ddev
提供一组一致的Linux实用工具(包括jq、base64、curl、sed、shasum、wget、yq等),解决跨系统工具行为不一致问题,尤其适用于DDEV环境中需要可靠工具的场景。
100万+ 次下载
1 年前更新
inseefrlab/utilitr
inseefrlab
暂无描述
1万+ 次下载
1 年前更新
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
错误码与失败问题
docker pull 提示 manifest unknown 怎么办?
manifest unknown
docker pull 提示 no matching manifest 怎么办?
no matching manifest(架构)
镜像已拉取完成,却提示 invalid tar header 或 failed to register layer 怎么办?
invalid tar header(解压)
Docker pull 时 HTTPS / TLS 证书验证失败怎么办?
TLS 证书失败
Docker pull 时 DNS 解析超时或连不上仓库怎么办?
DNS 超时
Docker 拉取出现 410 Gone 怎么办?
410 Gone 排查
出现 402 或「流量用尽」提示怎么办?
402 与流量用尽
Docker 拉取提示 UNAUTHORIZED(401)怎么办?
401 认证失败
遇到 429 Too Many Requests(请求太频繁)怎么办?
429 限流
docker login 提示 Cannot autolaunch D-Bus,还算登录成功吗?
D-Bus 凭证提示
为什么会出现「单层超过 20GB」或 413,无法加速拉取?
413 与超大单层
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"