Volatility es un framework de código abierto (open source) bajo licencia GNU General Public License creado por AAron Walters, está escrito en python y se enfoca principalmente en el análisis forense de memoria, se utiliza principalmente en la respuesta a incidentes y el análisis de malware.

El desarrollo de Volatility está soportado por The Volatility Foundation, una organización sin ánimo de lucro.

¿Para qué sirve Volatility?

El conjunto de herramientas de Volatility sirve para la extracción de artefactos digitales de una memoria volátil, ejemplo: la memoria RAM de un computador.

Se utiliza mucho en la respuesta a incidentes y análisis de Malware, ejemplo: algunos tipos de malware actuales se ejecutan en la memoria RAM de un computador, por tal razón, para poder detectarlo y analizar su comportamiento, es importante analizar una copia de la memoria volátil del computador donde se detectó la actividad sospechosa, para el análisis de esta muestra se utiliza Volatility

¿Qué versiones de Volatility existen actualmente?

A parte de las versiones anteriores, actualmente podemos encontrar la versión Volatility 2.6 y Volatility 3 v1.0.0.

Volatility 2.6 trabaja con python 2 (versiones superiores de python2), mientras que Volatility 3 trabaja con python 3.

¿En qué sistemas operativos se puede instalar Volatility?

La herramienta se puede ejecutar en los sistemas operativos Linux, MAC o Windows

¿Cómo instalar Volatility en Ubuntu 20.04.2?

Es importante aclarar que en este post no se realizó la instalación de la versión standalone de Volatility 2.6 en Windows.

En este caso se instaló Volatility versión 2.6.1 en el sistema operativo Windows 10 Pro 21H1, ver imagen 1.

En esta oportunidad se realizará la instalación de Volatility

Instalar Ubuntu

verificar conectividad

verificar el repositorio universe

actualizar los repos

sudo apt install build-essential

instalar python2.7, instalar python 2.7-dev

chequear versión de python2.7

instalar pip, descargar con curl https://bootstrap.pypa.io/pip/2.7/get-pip.py

instalar pip -> sudo python2.7 get-pip.py

chequear version de pip -> pip2.7 –version

Requerimientos

En esta tabla puede ver un resumen de los paquetes sugeridos; en la wiki no sugieren ninguna versión particular de los paquetes, para este post se probaron varias versiones, las que están en la tabla 1, fueron las que funcionaron correctamente, sin embargo, si tiene algún inconveniente con las versiones, intente con varias de ellas.

Nombre del paquete	versión	Enlace
distorm3	3.5.2	https://pypi.org/project/distorm3/
yara-python	3.8.1	https://pypi.org/project/yara-python/
pycrypto	2.6.1	https://pypi.org/project/pycrypto/
pil <- Pillow	6.2.2	https://pypi.org/project/Pillow/
openpyxl	2.6.4	https://pypi.org/project/openpyxl/
ujson	1.35	https://pypi.org/project/ujson/