Ich habe gehört, dass Volatility als forensisches Tool als Option von Cuckoo verwendet wird, also habe ich es installiert, es ist also ein Memo. Um ehrlich zu sein, konnte ich es ohne besondere Probleme außer Yara tun.
Einige Pakete sind in der Installation von Cuckoo usw. enthalten, aber ich denke, dass einige Leute Volatility alleine verwenden, also werde ich beide schreiben.
#Für Kuckuck
$ sudo apt-get install pcregrep libpcre++-dev
#Nur für die Volatilität
$ sudo apt-get install python python-pip unzip subversion pcregrep libpcre++-dev python-dev
$ sudo pip install pycrypto
$ wget https://distorm.googlecode.com/files/distorm3.zip
$ unzip distorm3.zip
$ cd distorm3/
$ python setup.py build
$ sudo python setup.py build install
In Bezug auf die Installation von Yara Yara-Fehler beim Ausführen von Cuckoo Sandbox Ich habe es geschrieben, also beziehen Sie sich bitte darauf.
$ wget https://volatility.googlecode.com/files/volatility-2.3.1.tar.gz
$ tar zxvf volatility-2.3.1.tar.gz
$ cd volatility-2.3.1/
$ python setup.py build
$ sudo python setup.py build install
Schließlich ist es in Ordnung, wenn die folgende Standardausgabe erhalten wird. Wenn Sie "Fehlgeschlagen ..." sehen, schlägt dies fehl. Bestätigen Sie den Vorgang erneut.
$ python vol.py -h
Volatility Foundation Volatility Framework 2.3.1
Usage: Volatility - A memory forensics analysis platform.
Options:
-h, --help list all available options and their default values.
Default values may be set in the configuration file
(/etc/volatilityrc)
(Unten weggelassen)
Recommended Posts