[Volatility] Volatility 3 설치(For offline Windows)

오프라인 Windows 환경에서 Volatility 3를 사용하려면, 먼저 Python 본체와 필수 패키지, 그리고 Volatility 3 본체 파일을 미리 준비해야 합니다. 아래 파일들은 인터넷이 가능한 환경에서 다운로드한 뒤, 대상 Windows 시스템으로 옮겨 설치하는 방식으로 구성합니다.

 

[환경 구성]

◎ 설치 파일 준비

 - 오프라인 환경에서는 사전에 필요한 파일을 모두 다운로드하여 이동식 저장매체 등을 통해 옮겨야 합니다.

 - 아래 파일들은 인터넷이 가능한 환경에서 미리 확보해야 합니다.

 - 필요한 파일들

• python-3.13.12-amd64.exe
• 링크 : https://www.python.org/downloads/release/python-31312/

 

• pip-26.0.1-py3-none-any.whl
• 링크 : https://pypi.org/project/pip/#files

 

• pycryptodome-3.23.0-cp37-abi3-win_amd64.whl
• 링크 : https://pypi.org/project/pycryptodome/#files

 

• yara_python-4.5.4-cp313-cp313-win_amd64.whl
• 링크 : https://pypi.org/project/yara-python/#files

 

• pefile-2024.8.26-py3-none-any.whl
• 링크 : https://pypi.org/project/pefile/#files

 

• capstone-5.0.7-py3-none-win_amd64.whl
• 링크 : https://pypi.org/project/capstone/#files

 

• jsonschema-4.26.0-py3-none-any.whl
• 링크 : https://pypi.org/project/jsonschema/#files

 

• attrs-26.1.0-py3-none-any.whl
• 링크 : https://pypi.org/project/attrs/#files

 

• jsonschema_specifications-2025.9.1-py3-none-any.whl
• 링크 : https://pypi.org/project/jsonschema-specifications/#files

 

• referencing-0.37.0-py3-none-any.whl
• 링크 : https://pypi.org/project/referencing/#files

 

• rpds_py-0.30.0-cp313-cp313-win_amd64.whl
• 링크 : https://pypi.org/project/rpds-py/#files

 

• volatility3-2.27.0.zip
• 링크 : https://github.com/volatilityfoundation/volatility3/releases

 

 - Python 본체는 공식 설치 파일을 사용하고, 나머지는 .whl 파일 또는 압축 파일 형태로 준비하면 됩니다.

 - .whl 파일은 pip install 파일명.whl 형식으로 로컬 설치가 가능하며, 오프라인 환경에서 특히 유용합니다.

 - 이 파일들은 예시 기준으로 D:\Downloads 경로에 위치한다고 가정합니다.

◎ Python 및 기본 환경 구성

• 먼저 Python 3.13.12를 설치합니다. 
• 설치 시에는 Add python.exe to PATH 같은 옵션을 함께 활성화해 두면 이후 명령 프롬프트에서 편리하게 사용할 수 있습니다. 
• Python 설치가 끝나면 pip가 정상 동작하는지 확인합니다.
• 이후 필요한 패키지들을 순서대로 설치합니다.
• 로컬 wheel 파일을 사용하는 경우에는 각 파일이 있는 경로에서 다음과 같이 설치하면 됩니다.

D:\Downloads> python -m pip install pip-26.0.1-py3-none-any.whl D:\Downloads>  python -m pip install pycryptodome-3.23.0-cp37-abi3-win_amd64.whl D:\Downloads>  python -m pip install yara_python-4.5.4-cp313-cp313-win_amd64.whl D:\Downloads>  python -m pip install pefile-2024.8.26-py3-none-any.whl D:\Downloads>  python -m pip install capstone-5.0.7-py3-none-win_amd64.whl D:\Downloads>  python -m pip install jsonschema-4.26.0-py3-none-any.whl D:\Downloads>  python -m pip install attrs-26.1.0-py3-none-any.whl D:\Downloads>  python -m pip install jsonschema_specifications-2025.9.1-py3-none-any.whl D:\Downloads>  python -m pip install referencing-0.37.0-py3-none-any.whl D:\Downloads>  python -m pip install rpds_py-0.30.0-cp313-cp313-win_amd64.whl

• 특히 PyCryptodome은 Volatility 계열에서 자주 필요한 의존성이라 먼저 확인해 두는 편이 좋습니다. 
• Windows에서 wheel 파일을 이용한 설치는 일반적인 pip install 패키지명과 동일한 흐름으로 처리할 수 있습니다.

 

◎ Volatility 3 구성

• Volatility 3는 GitHub 릴리스 페이지에서 받은 volatility3-2.27.0.zip 압축 파일을 적절한 경로에 풀어서 사용합니다. 
• 압축을 해제한 뒤 vol.py 실행이 가능한 위치로 이동해, 기본 동작 여부를 확인하면 됩니다.

압축해제 D:\Downloads> volatility3-2.27.0.zip

 

◎ 실행 테스트

• 정상 설치 여부를 확인합니다.

D:\Downloads\volatility3-2.27.0> python vol.py -h

• 또는 압축 해제한 디렉터리에서 Volatility가 정상 호출되는지 확인합니다. 
• 처음 실행할 때는 인터넷 연결이 가능한 상태에서 심볼 테이블 다운로드가 필요할 수 있으며, 이 과정이 끝나면 이후에는 오프라인 환경에서도 분석이 가능합니다.

 

 

[가상환경 구성]

◎ 가상환경 생성

• 가상환경을 사용하면 시스템 전역 Python과 분리해서 Volatility 3 전용 실행 환경을 만들 수 있습니다. 
• 특히 여러 분석 도구를 같이 운용할 때 의존성 충돌을 줄이는 데 유리합니다. 
• 아래처럼 생성한 뒤 활성화해서 패키지를 설치하면 됩니다.

C:\lab> "C:\Program Files\Python313\python.exe" -m venv venv C:\lab>  venv\Scripts\activate (venv) C:\lab> where python C:\lab\venv\Scripts\python.exe

 

• 가상환경 안에서 앞서 준비한 wheel 파일들을 설치한 뒤, Volatility 3를 실행하면 됩니다. 
• 이렇게 구성하면 오프라인 Windows에서도 반복적으로 같은 환경을 유지하기 쉽습니다.

◎ 가상환경 종료

(venv) C:\lab> deactivate

[마무리]

• 정리하면, 이 방식은 Python 설치 → wheel 파일 오프라인 설치 → Volatility 3 압축 해제 → 가상환경 구성 순서로 진행하면 됩니다. 
• 핵심은 필요한 의존성을 미리 확보해 두고, 최초 실행 시 심볼 테이블만 한 번 받아두면 이후부터는 오프라인에서도 안정적으로 사용할 수 있다는 점입니다.