Sto provando a usare un plugin (non integrato) con la volatilità 2.4 ma sto avendo problemi con la sintassi. So che almeno per il nativo python (vol.py) l'opzione plugin deve essere specificata direttamente dopo vol.py. Ho provato a specificare la directory dei plugin come un percorso assoluto e un percorso relativo.
Esempio di comando:
volatility.exe --plugins=C:\volatility\plugins -f=memImage.mem --profile=Win7SP1x86 usnparser > usnparser.txt
All'interno della directory dei plug-in è:
usnparser.py
Il messaggio di errore che ottengo è:
ERROR : volatility.debug : You must specify something to do (try -h)
Questo è l'errore che ottengo ogni volta che specifico un plugin che non esiste. Ho provato questo con alcuni plugin che non vengono con la volatilità. Ottengo sempre gli stessi risultati. Probabilmente passerò ad usare la versione python predefinita, ma sono curioso di sapere perché non riesco a farlo funzionare con l'eseguibile di Windows.