Debian, Forense, Linux, Python, Tutoriales

Instalación de Volatility Framework en Debian/Ubuntu

Voy a iniciar una serie de artículos sobre Análisis Forense Digital usando software libre. Durante la primera fase veremos el proceso de instalación de algunas herramientas para nuestro laboratorio, hoy iniciaremos con Volatility.

Volatility Framework es un conjunto de herramientas libres escritas en python para el análisis forense digital de  Memoria RAM. Con Volatility Podemos analizar dumps de memoria de Sistemas operativos Windows, Linux y MAC en 32 y 64 bits.

 

Instalar Dependencias:

apt-get install pcregrep libpcre++-dev python-dev zip g++ -y

Instalar PyCrypto

apt-get install python-crypto

Instalar diStorm

Distorm

cd /usr/src/

wget https://distorm.googlecode.com/files/distorm3.zip

unzip distorm3.zip

cd distorm3/

python setup.py build

python setup.py build install

 

Instalar Yara y Yara-Python

Yara

 

 

 

cd /usr/src/

wget https://yara-project.googlecode.com/files/yara-1.7.tar.gz

tar -zxvf yara-1.7.tar.gz

cd yara-1.7/

./configure

make

make install

cd /usr/src/

wget https://yara-project.googlecode.com/files/yara-python-1.7.tar.gz

tar -zxvf yara-python-1.7.tar.gz

cd yara-python-1.7

python setup.py build

python setup.py build install

 

 Instalar Volatility

volatility

 

 

 

Descargar desde: https://code.google.com/p/volatility/downloads/list

cd /usr/src/

wget https://volatility.googlecode.com/files/volatility-2.2.tar.gz

tar -zxvf volatility-2.2.tar.gz

cd volatility-2.2/

python setup.py install

 

Instalar Plugins

En este caso vamos a instalar un conjunto de plugins utilizados en el libro de Analisis de Malware  Malware Analyst’s Cookbook

cd /usr/local/lib/python2.7/dist-packages/volatility/plugins/

wget http://malwarecookbook.googlecode.com/svn/trunk/malware.py

 

En el siguiente enlace se pueden encontrar más referencias sobre oros plugins para volatility http://www.forensicswiki.org/wiki/List_of_Volatility_Plugins

 

Ejecutar Volatility

vol.py -h

 

Referencias:

http://volatility-labs.blogspot.com/

https://code.google.com/p/volatility/wiki/FullInstallation

 

Nota: Si al ejecutar volatility aparecen los siguientes errores se debe a que no se ha instalado PyCrypto

python vol.py
Volatile Systems Volatility Framework 2.2
*** Failed to import volatility.plugins.registry.registryapi (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.evtlogs (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.registry.lsadump (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.getservicesids (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.registry.shimcache (ImportError: No module named Crypto.Hash)

Tags: , , ,

1 Comentario

  1. Abigail says:

    Vamos Dani muestranos lo que puedes hacer con estas herramientas, saludos.

WordPress Themes
WordPress Themes