que-es-volatility-behackerpro-ciberseguridad

 

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-logo   Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-logoWin

 

¿Qué es Volatility?

 

Volatility es un framework de código abierto (open source) bajo licencia GNU General Public License creado por AAron Walters, está escrito en python y se enfoca principalmente en el análisis forense de memoria, se utiliza principalmente en la respuesta a incidentes y el análisis de malware.

 

El desarrollo de Volatility está soportado por The Volatility Foundation, una organización sin ánimo de lucro. 

 

¿Para qué sirve Volatility?

 

El conjunto de herramientas de Volatility sirve para la extracción de artefactos digitales de una memoria volátil, ejemplo: la memoria RAM de un computador. 

 

Se utiliza mucho en la respuesta a incidentes y análisis de Malware, ejemplo: algunos tipos de malware actuales se ejecutan en la memoria RAM de un computador, por tal razón, para poder detectarlo y analizar su comportamiento, es importante analizar una copia de la memoria volátil del computador donde se detectó la actividad sospechosa, para el análisis de esta muestra se utiliza Volatility

 

¿Qué versiones de Volatility existen actualmente?

 

A parte de las versiones anteriores, actualmente podemos encontrar la versión Volatility 2.6 y Volatility 3 v1.0.0.

 

Volatility 2.6 trabaja con python 2 (versiones superiores de python2), mientras que Volatility 3 trabaja con python 3. 

 

¿En qué sistemas operativos se puede instalar Volatility?

 

La herramienta se puede ejecutar en los sistemas operativos Linux, MAC o Windows

 

¿Cómo instalar Volatility en Windows?

 

Es importante aclarar que en este post no se realizó la instalación de la versión standalone de Volatility 2.6 en Windows.

 

En este caso se instaló Volatility versión 2.6.1 en el sistema operativo Windows 10 Pro 21H1, ver imagen 1.

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img1

Imagen 1

 

Requerimientos

 

Para la versión 2.6.1 se utilizó Python en su versión 2.7.18, ver imagen 2

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img2

Imagen 2

 

Descargue el paquete Windows x86-64-MSI installer, ver imagen 3

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img3

Imagen 3

 

Verifique integridad mediante la comparación de los hashes, ver imagen 4

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img4

Imagen 4

 

A continuación instale Python 2.7.18, ver imagen 5

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img5

Imagen 5

 

Seleccione el directorio en el cual va a instalar python, ver imagen 6

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img6

Imagen 6

 

Seleccione la opción “Add python.ext to Path”, ver imágenes 7 y 8

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img7

Imagen 7

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img8

 

Imagen 8

 

Permita que la aplicación realice cambios en su dispositivo, ver imagen 9

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img9

Imagen 9

 

Clic en el botón “Finish” para finalizar la instalación de Python 2.7.18, ver imagen 10

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img10

Imagen 10

 

Reinicie el equipo para que los cambios sean asimilados por el sistema, ver imagen 11

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img11

Imagen 11

 

A continuación, descargue Volatility desde el enlace https://github.com/volatilityfoundation/volatility/archive/master.zip

 

Extraiga la carpeta comprimida, ver imagen 12

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img12

Imagen 12

 

Abra el CMD como usuario administrador y ubíquese en la carpeta “volatility-master”, ver imagen 13

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img13

Imagen 13

 

A continuación, instale los paquetes recomendados para el funcionamiento adecuado de Volatility:

 

Antes de iniciar la instalación de los paquetes requeridos, debe instalar el compilador de Microsoft Visual C++ para Python 2.7.

 

Nota: Este paquete está descontinuado, así que no lo podrá descargar directamente de la página de microsoft. 

 

Puede buscar y descargar el paquete en la “WayBackMachine”, yo la descargué de la siguiente URL:

 

https://web.archive.org/web/20190720195601/http://www.microsoft.com/en-us/download/confirmation.aspx?id=44266

 

En caso de querer utilizar la misma URL, se le recomienda proceder con CAUTELA:

  • Chequee la URL que le indico a continuación en la página de virustotal, verifique que esté libre de malware.

 A continuación se puede observar que se inició la descarga del paquete, ver imagen 14

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img14

Imagen 14

 

Una vez descargado el paquete, se sube a virustotal.com con el fin de verificar que este libre de malware, ver imagen 15; para mayor seguridad, puede escanear el paquete con su antivirus local para mayor seguridad

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img15

Imagen 15

 

De acuerdo a los análisis efectuados, el paquete está libre de malware, se procede entonces con la instalación del mismo:

 

Lea los términos de la licencia, si está de acuerdo acepte los términos y proceda con la instalación, ver imagen 16

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img16

Imagen 16

 

Espere a que el proceso de instalación termine, ver imagen 17.

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img17

Imagen 17

 

Una vez se ha instalado el compilador de Microsoft Visual C++ para Python 2.7, se procede con la instalación de los paquetes sugeridos en https://github.com/volatilityfoundation/volatility/wiki/Installation

 

En esta tabla puede ver un resumen de los paquetes sugeridos; en la wiki no sugieren ninguna versión particular de los paquetes, para este post se probaron varias versiones, las que están en la tabla 1, fueron las que funcionaron correctamente, sin embargo, si tiene algún inconveniente con las versiones, intente con varias de ellas.

 

Nombre del paquete

versión

Enlace

distorm3

3.5.2

https://pypi.org/project/distorm3/

yara-python

3.8.1

https://pypi.org/project/yara-python/

pycrypto

2.6.1

https://pypi.org/project/pycrypto/

pil <- Pillow

6.2.2

https://pypi.org/project/Pillow/

openpyxl

2.6.4

https://pypi.org/project/openpyxl/

ujson

1.35

https://pypi.org/project/ujson/

Tabla 1

 

Antes de iniciar la instalación, voy a ver la versión que tengo instalada de pip, ver imagen 18:

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img18

Imagen 18

 

Utilizo el comando “pip list” para ver los paquetes instalados actualmente, ver imagen 19:

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img19

Imagen 19

 

A continuación se actualiza pip, ver imagen 20

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img20 

Imagen 20

 

Utilizo el comando “pip list” para ver los paquetes instalados; ya se puede observar que pip ha sido actualizado, ver imagen 21

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img21

Imagen 21

 

A continuación se procede con la instalación de los paquetes recomendados:

 

Se utiliza el comando “pip install distorm3==3.5.2” para instalar el paquete distorm3, ver imagen 22.

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img22

Imagen 22

 

Se utiliza el comando “pip install yara-python==3.8.1” para instalar el paquete yara-python, ver imagen 23.

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img23

Imagen 23

 

Se utiliza el comando “pip install pycrypto” para instalar el paquete pycrypto, ver imagen 24.

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img24

Imagen 24

 

Se utiliza el comando “pip install pillow” para instalar el paquete pillow, ver imagen 25.

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img25

Imagen 25

 

Se utiliza el comando “pip install openpyxl==2.6.4” para instalar el paquete openpyxl, ver imagen 26.

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img26

Imagen 26

 

Se utiliza el comando “pip install ujson==1.35” para instalar el paquete ujson, ver imagen 27.

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img27

Imagen 27

 

Una vez ha terminado de instalar los paquetes recomendados, verifique los paquetes instalados con el comando “pip list”, ver imagen 28.

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img28

Imagen 28

 

A continuación proceda con la instalación de volatility (¡Recuerde! debe estar dentro de la carpeta relativa a “Volatility”) mediante el comando setup.py install, ver imagen 29

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img29

Imagen 29

 

Verifique el listado de paquetes instalados mediante el comando “pip list”, ver imagen 30.

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img30

Imagen 30

 

Volatility ha sido instalado, a continuación, puede utilizar el comando “vol.py -h” para obtener la ayuda relacionada con la utilidad, ver imagen 31.

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img31

Imagen 31

 

Utilice el comando “vol.py –info” para ver información relacionada con los Perfiles, Espacios de direccionamiento, Plugins, etc, ver imagen 32.

 

Que-es-volatility-instalacion-windows-10-Behackerpro-Ciberseguridad-img32

Imagen 32

 

Este ha sido el proceso de instalación de Volatility en Windows 10, espero les haya gustado.

 

Recursos

https://volatilityfoundation.org

https://github.com/volatilityfoundation/volatility

https://dfironthemountain.wordpress.com/2018/10/29/installing-volatility-on-windows/

 

 

¿Te gustó este post? por favor déjanos tus comentarios! Sé un buen HackerPro y comparte con tu comunidad! Suscríbete a Behackerpr

Otras Entradas

3 comentarios en “¿Qué es Volatility y cómo instalarlo?Instalación “No standalone” en Windows 10”

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *