Volatility2是ctf比赛中,“内存分析”题目的一个好工具。笔者在安装volatility2过程中碰到了一些问题,这里分享出来,希望能够帮到读者。
一,起因
最近在研究内存分析方向的ctf题目,发现Volatility2是一个不错的工具。其实起初笔者安装的是Volatility3,安装过程中也碰到了不少问题,比如python3的包依赖等等,经历千辛万苦终于安装好了之后呢,发现Volatility3虽然是新的技术,且某一些功能比Volatility2要好,比如命令方面,不再需要指定profile,但是,好像缺了一些东西,比如mimikatz无法使用等,(应该是我太菜)。所以,笔者又安装了Volatility2,接下来就来说一下安装碰到的问题吧。
二,安装
这是Volatility2在github上的项目,放下下载到kali linux中:
https://github.com/volatilityfoundation/volatility
解压压缩文件后,进入volatility文件夹中直接执行以下代码进行编译:
python2 setup.py install编译完成之后,运行vol.py,发现会报错:
*** Failed to import volatility.plugins.malware.svcscan (ImportError: No module named Crypto.Hash)
以及:
Failed to import volatility.plugins.mac.apihooks (ImportError: No module named distorm3)
可以看到,提示缺少Crypto和distorm3两个包,但是pip2 install Crypto和pip2 install distorm3并不能解决问题,会报错。
三,解决办法
解决方法如下:
(1)下载 pycryptodome
pip2 install -i https://pypi.tuna.tsinghua.edu.cn/simple/ pycryptodome
(2)安装python2-dev
apt-get install python2-dev
(3)下载distorm3
下载地址:https://pypi.org/project/distorm3
注意,一定要下载老版本:(最新版本不行后,只试了3.3.4,其它未尝试)
下载下来之后,解压,进入文件夹执行:
sudo python2 setup.py build install
此时,再执行python2 vol.py -h就不会报错了。
题外话:
这里推荐一个与Volatility2配合使用的github项目,里面包含了mimkatz等,可以直接读取内存分析题目中镜像的明文密码:
https://github.com/ruokeqx/tool-for-CTF
原文始发于微信公众号(小猪网络安全):Volatility2安装遇到的一些问题
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论