Estoy tratando de usar un complemento (no integrado) con volatilidad 2.4 pero tengo problemas con la sintaxis. Sé que al menos para el python nativo (vol.py) la opción de complementos debe especificarse directamente después de vol.py. He intentado especificar el directorio de complementos como una ruta absoluta y una ruta relativa.
Ejemplo de comando:
volatility.exe --plugins=C:\volatility\plugins -f=memImage.mem --profile=Win7SP1x86 usnparser > usnparser.txt
Dentro del directorio de complementos está:
usnparser.py
El mensaje de error que recibo es:
ERROR : volatility.debug : You must specify something to do (try -h)
Este es el error que recibo cada vez que especifico un complemento que no existe. He intentado esto con algunos complementos que no vienen con volatilidad. Siempre obtengo los mismos resultados. Probablemente pasará a utilizar la versión de python predeterminada, pero tengo curiosidad por saber por qué no puedo hacer que esto funcione con el ejecutable de Windows.