CuckooのオプションでフォレンジックツールとしてVolatilityを使っているとのことで、インストールしてみたのでそのメモです。
正直、Yara以外は特に詰まったところはなく出来ました。
環境
- OS
- Ubuntu 14.04
- PyCrypto
- Yara
- 3.1
- Volatility
- 2.3.1
参考
- volatility
- Installing Volatility in Ubuntu
- yara以外はほぼこの通りにやっただけでうまくいきました
手順
必要なパッケージをインストール
Cuckooなどをインストールする過程で幾つかパッケージが入っていますが、Volatility単体で使う人もいると思うので両方書いておきます。
# Cuckoo向け
$ sudo apt-get install pcregrep libpcre++-dev
# Volatilityのみ向け
$ sudo apt-get install python python-pip unzip subversion pcregrep libpcre++-dev python-dev
PyCryptoのインストール
$ sudo pip install pycrypto
Distromのインストール
$ wget https://distorm.googlecode.com/files/distorm3.zip
$ unzip distorm3.zip
$ cd distorm3/
$ python setup.py build
$ sudo python setup.py build install
Yaraのインストール
Yaraのインストールに関しては
Cuckoo Sandboxの実行でYaraのエラーが出る
に書いたので、そちらを参照下さい。
Volatilityのインストール
$ wget https://volatility.googlecode.com/files/volatility-2.3.1.tar.gz
$ tar zxvf volatility-2.3.1.tar.gz
$ cd volatility-2.3.1/
$ python setup.py build
$ sudo python setup.py build install
最後に以下のような標準出力が得られていればOKです。
Failed to...とか出てると失敗しているので手順を再確認してみてください。
$ python vol.py -h
Volatility Foundation Volatility Framework 2.3.1
Usage: Volatility - A memory forensics analysis platform.
Options:
-h, --help list all available options and their default values.
Default values may be set in the configuration file
(/etc/volatilityrc)
(以下略)