Qué es Volatility y cómo instalarlo. Instalación “No standalone” en Windows 10
¿Qué es Volatility?
Volatility es un framework de código abierto (open source) bajo licencia GNU General Public License creado por AAron Walters, está escrito en python y se enfoca principalmente en el análisis forense de memoria, se utiliza principalmente en la respuesta a incidentes y el análisis de malware.
El desarrollo de Volatility está soportado por The Volatility Foundation, una organización sin ánimo de lucro.
¿Para qué sirve Volatility?
El conjunto de herramientas de Volatility sirve para la extracción de artefactos digitales de una memoria volátil, ejemplo: la memoria RAM de un computador.
Se utiliza mucho en la respuesta a incidentes y análisis de Malware, ejemplo: algunos tipos de malware actuales se ejecutan en la memoria RAM de un computador, por tal razón, para poder detectarlo y analizar su comportamiento, es importante analizar una copia de la memoria volátil del computador donde se detectó la actividad sospechosa, para el análisis de esta muestra se utiliza Volatility
¿Qué versiones de Volatility existen actualmente?
A parte de las versiones anteriores, actualmente podemos encontrar la versión Volatility 2.6 y Volatility 3 v1.0.0.
Volatility 2.6 trabaja con python 2 (versiones superiores de python2), mientras que Volatility 3 trabaja con python 3.
¿En qué sistemas operativos se puede instalar Volatility?
La herramienta se puede ejecutar en los sistemas operativos Linux, MAC o Windows
¿Cómo instalar Volatility en Windows?
Es importante aclarar que en este post no se realizó la instalación de la versión standalone de Volatility 2.6 en Windows.
En este caso se instaló Volatility versión 2.6.1 en el sistema operativo Windows 10 Pro 21H1, ver imagen 1.
Imagen 1
Requerimientos
Para la versión 2.6.1 se utilizó Python en su versión 2.7.18, ver imagen 2
Imagen 2
Descargue el paquete Windows x86-64-MSI installer, ver imagen 3
Imagen 3
Verifique integridad mediante la comparación de los hashes, ver imagen 4
Imagen 4
A continuación instale Python 2.7.18, ver imagen 5
Imagen 5
Seleccione el directorio en el cual va a instalar python, ver imagen 6
Imagen 6
Seleccione la opción “Add python.ext to Path”, ver imágenes 7 y 8
Imagen 7
Imagen 8
Permita que la aplicación realice cambios en su dispositivo, ver imagen 9
Imagen 9
Clic en el botón “Finish” para finalizar la instalación de Python 2.7.18, ver imagen 10
Imagen 10
Reinicie el equipo para que los cambios sean asimilados por el sistema, ver imagen 11
Imagen 11
A continuación, descargue Volatility desde el enlace https://github.com/volatilityfoundation/volatility/archive/master.zip
Extraiga la carpeta comprimida, ver imagen 12
Imagen 12
Abra el CMD como usuario administrador y ubíquese en la carpeta “volatility-master”, ver imagen 13
Imagen 13
A continuación, instale los paquetes recomendados para el funcionamiento adecuado de Volatility:
Antes de iniciar la instalación de los paquetes requeridos, debe instalar el compilador de Microsoft Visual C++ para Python 2.7.
Nota: Este paquete está descontinuado, así que no lo podrá descargar directamente de la página de microsoft.
Puede buscar y descargar el paquete en la “WayBackMachine”, yo la descargué de la siguiente URL:
En caso de querer utilizar la misma URL, se le recomienda proceder con CAUTELA:
Chequee la URL que le indico a continuación en la página de virustotal, verifique que esté libre de malware.
A continuación se puede observar que se inició la descarga del paquete, ver imagen 14
Imagen 14
Una vez descargado el paquete, se sube a virustotal.com con el fin de verificar que este libre de malware, ver imagen 15; para mayor seguridad, puede escanear el paquete con su antivirus local para mayor seguridad
Imagen 15
De acuerdo a los análisis efectuados, el paquete está libre de malware, se procede entonces con la instalación del mismo:
Lea los términos de la licencia, si está de acuerdo acepte los términos y proceda con la instalación, ver imagen 16
Imagen 16
Espere a que el proceso de instalación termine, ver imagen 17.
Imagen 17
Una vez se ha instalado el compilador de Microsoft Visual C++ para Python 2.7, se procede con la instalación de los paquetes sugeridos en https://github.com/volatilityfoundation/volatility/wiki/Installation
En esta tabla puede ver un resumen de los paquetes sugeridos; en la wiki no sugieren ninguna versión particular de los paquetes, para este post se probaron varias versiones, las que están en la tabla 1, fueron las que funcionaron correctamente, sin embargo, si tiene algún inconveniente con las versiones, intente con varias de ellas.
Tabla 1
Antes de iniciar la instalación, voy a ver la versión que tengo instalada de pip, ver imagen 18:
Imagen 18
Utilizo el comando “pip list” para ver los paquetes instalados actualmente, ver imagen 19:
Imagen 19
A continuación se actualiza pip, ver imagen 20
Imagen 20
Utilizo el comando “pip list” para ver los paquetes instalados; ya se puede observar que pip ha sido actualizado, ver imagen 21
Imagen 21
A continuación se procede con la instalación de los paquetes recomendados:
Se utiliza el comando “pip install distorm3==3.5.2” para instalar el paquete distorm3, ver imagen 22.
Imagen 22
Se utiliza el comando “pip install yara-python==3.8.1” para instalar el paquete yara-python, ver imagen 23.
Imagen 23
Se utiliza el comando “pip install pycrypto” para instalar el paquete pycrypto, ver imagen 24.
Imagen 24
Se utiliza el comando “pip install pillow” para instalar el paquete pillow, ver imagen 25.
Imagen 25
Se utiliza el comando “pip install openpyxl==2.6.4” para instalar el paquete openpyxl, ver imagen 26.
Imagen 26
Se utiliza el comando “pip install ujson==1.35” para instalar el paquete ujson, ver imagen 27.
Imagen 27
Una vez ha terminado de instalar los paquetes recomendados, verifique los paquetes instalados con el comando “pip list”, ver imagen 28.
Imagen 28
A continuación proceda con la instalación de volatility (¡Recuerde! debe estar dentro de la carpeta relativa a “Volatility”) mediante el comando setup.py install, ver imagen 29
Imagen 29
Verifique el listado de paquetes instalados mediante el comando “pip list”, ver imagen 30.
Imagen 30
Volatility ha sido instalado, a continuación, puede utilizar el comando “vol.py -h” para obtener la ayuda relacionada con la utilidad, ver imagen 31.
Imagen 31
Utilice el comando “vol.py –info” para ver información relacionada con los Perfiles, Espacios de direccionamiento, Plugins, etc, ver imagen 32.
Imagen 32
Este ha sido el proceso de instalación de Volatility en Windows 10, espero les haya gustado.
Recursos
https://volatilityfoundation.org
https://github.com/volatilityfoundation/volatility
https://dfironthemountain.wordpress.com/2018/10/29/installing-volatility-on-windows/
¿Te gustó este post? por favor déjanos tus comentarios! Sé un buen HackerPro y comparte con tu comunidad! Suscríbete a Behackerpr
Otras Entradas
Introducción a la Seguridad en AI – Parte 2
Después de entender los principales ataques, técnicas, tácticas y procedimientos...
Leer más
Introducción a la Seguridad en AI
Cuando hablamos de Seguridad en AI (Artificial Intelligence o Inteligencia...
Leer más
5 pilares para Hackers o Profesionales en Ciberseguridad desde una perspectiva técnica
Después de la master class que realizamos en Be Hacker...
Leer más
Como instalar volatility 3 en Windows 10
Muy buen Post!! Mis dieces
Muchas gracias!!