Vamos a comenzar a realizar algún artículo de análisis forense y para ello, antes de comenzar, debemos de preparar el laboratorio de software que vamos a emplear.
Por circunstancias de la vida, tuve que hacer un pequeño análisis de un volcado de memoria RAM de un Windows, para saber qué tenía y de qué se había infectado. Para trabajar con este tipo de casos, lo mejor es emplear el framework Volatility. Cómo se hizo y qué datos obtuvimos lo vamos a dejar para otra entrada. En esta primera vamos a ver cómo instalar Volatility en nuestra distribución preferida y dejarlo listo para trabajar.
Por circunstancias de la vida, tuve que hacer un pequeño análisis de un volcado de memoria RAM de un Windows, para saber qué tenía y de qué se había infectado. Para trabajar con este tipo de casos, lo mejor es emplear el framework Volatility. Cómo se hizo y qué datos obtuvimos lo vamos a dejar para otra entrada. En esta primera vamos a ver cómo instalar Volatility en nuestra distribución preferida y dejarlo listo para trabajar.
- Instalación de dependenciasEn este primer paso vamos a instalar todo el software que necesitamos para poder efectuar correctamente los siguientes pasos. Puesto que algunos de los paquetes que a continuación vamos a instalar no están disponibles en Debian/Ubuntu, tendremos que instalar software de compilación, que posteriormente no será necesario.Las dependencias necesarias a instalar,
shell> apt-get install pcregrep \ libpcre++-dev \ python-dev \ unzip \ g++ \ python-crypto - Instalación de diStormAhora que ya tenemos todo lo necesario instalado, podemos comenzar la instalación del software que realmente vamos a emplear con Volatility.Lo primero, diStorm, una pequeña librería que nos ayudará al desensamblado de datos de la memoria. Desde la web oficial del proyecto nos podemos descargar la última versión de la librería e instalarla.
shell> wget https://distorm.googlecode.com/files/distorm3.zip shell> unzip distorm3.zip shell> cd distorm3/ shell> python setup.py build shell> python setup.py build install
Si todo sale correcto, la instalación será satisfactoria. - Instalación de Yara/Yara-PythonSeguimos instalando librerías. Ahora es el turno de Yara y la versión de Yara para Python. Yara es una librería que permite buscar, identificar y extraer trozos de código malware. Más información en la web oficial del proyecto.
shell> wget https://yara-project.googlecode.com/files/yara-1.7.tar.gz shell> tar -zxvf yara-1.7.tar.gz shell> cd yara-1.7/ shell> ./configure shell> make shell> make install
Y ahora el turno de la librería Python,shell> wget https://yara-project.googlecode.com/files/yara-python-1.7.tar.gz shell> tar -zxvf yara-python-1.7.tar.gz shell> cd yara-python-1.7 shell> python setup.py build shell> python setup.py build install
Si todo está correcto, ya sólo nos queda el último paso, instalar Volatility - Instalación de VolatilityVamos a instalar finalmente el framework con el que trabajaremos. Para ello nos descargamos la última versión desde la web oficial y la instalamos.
shell> wget https://volatility.googlecode.com/files/volatility-2.2.tar.gz shell> tar -zxvf volatility-2.2.tar.gz shell> cd volatility-2.2/ shell> python setup.py install
Si todo ha salido correctamente, tendremos un nuevo comando en nuestro sistema, vol.py, que nos abrirá nuestro nuevo framework de análisis forense.
shell> vol.py -h Volatile Systems Volatility Framework 2.2 Usage: Volatility - A memory forensics analysis platform. ...
La entrada Instalación del framework Volatility en Debian la puedes leer en Puppet Linux.
No hay comentarios :
Publicar un comentario