A ferramenta Volatility é amplamente utilizada em análise forense digital para analisar imagens de memória RAM. Esta ferramenta permite aos analistas extrair informações cruciais de sistemas em funcionamento. Saiba como instalar a versão 2.
A Computação Forense pode ser descrita como a ciência responsável pela recolha, preservação e análise de vestígios digitais, presentes nos mais diversos dispositivos de processamento, armazenamento e comunicação. Nesta área, uma das ferramentas mais usadas é a Volatility.
Como referido, esta ferramenta permite extrair informações de dumps de memória, identificar atividades maliciosas, e recuperar artefactos, etc.
Como instalar a ferramenta Volatility – versão 2
Atualmente a ferramenta Volatility tem duas versões, a 2 e a 3. Como algumas imagens só têm suporte para a versão 2, e como há sempre alguns erros na instalação desta ferramenta, criamos um pequeno tutorial. Para instalar o volatility 2 no Kali Linux devem seguir os seguintes passos:
1. Instalar dependências do sistema
sudo apt update
sudo apt install -y build-essential git libdistorm3-dev yara libraw1394-11 libcapstone-dev capstone-tool tzdata
2. Instalar o Python 2 e o pip2
sudo apt install -y python2 python2.7-dev libpython2-dev curl
curl https://bootstrap.pypa.io/pip/2.7/get-pip.py -o get-pip.py
sudo python2 get-pip.py
sudo python2 -m pip install -U setuptools wheel
3. Instalar o Volatility 2 e os plugins
python2 -m pip install -U distorm3 pycrypto pillow openpyxl ujson pytz ipython capstone
4. Instalar versão 3.8.0 do plugin yara
pip2 install yara-python==3.8.0
git clone https://github.com/VirusTotal/yara-python
cd yara-python
git checkout v3.8.0
4. Instalar o Volatility 2 a partir do GitHub repo
python2 -m pip install -U git+https://github.com/volatilityfoundation/volatility.git
5. Verificar a instalação
python2 /usr/local/bin/vol.py --info
6. Atualizar variável de ambiente PATH (para que comando vol.py) fique disponível a partir de qualquer parte do sistema de ficheiros
echo 'export PATH=/home//.local/bin:$PATH' >> ~/.bashrc
exec bash
source ~/.bashrc
Se tudo correr bem, a ferramenta volatility 2 estará operacional Kali.
Podem saber mais sobre esta pequena, mas poderosa ferramenta aqui.