Kali Linux下Volatility2.6常见问题疑难杂症-内存取证信息安全管理与评估

简介: Kali Linux下Volatility2.6常见问题疑难杂症-内存取证信息安全管理与评估

Kali Linux下Volatility2.6常见问题疑难杂症-信息安全管理与评估

1.1 Python第三方库Crypto和distorm3报错

Volatility为开源项目,旧版本kali不集成此工具,此处用2.6为例,2.6版本是基于python2的环境。


GiitHub地址:https://github.com/volatilityfoundation/volatility


使用python2运行vol.py -f上镜像,发现一堆报错,但是有些功能还是可以正常使用

Volatility Foundation Volatility Framework 2.6.1
*** Failed to import volatility.plugins.registry.shutdown (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.getservicesids (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.timeliner (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.malware.apihooks (NameError: name 'distorm3' is not defined)
*** Failed to import volatility.plugins.malware.servicediff (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.registry.userassist (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.getsids (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.registry.shellbags (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.evtlogs (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.registry.shimcache (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.tcaudit (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.registry.dumpregistry (ImportError: No module named Crypto.Hash)                                                                                      
*** Failed to import volatility.plugins.registry.lsadump (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.malware.threads (NameError: name 'distorm3' is not defined)
*** Failed to import volatility.plugins.mac.apihooks_kernel (ImportError: No module named distorm3)
*** Failed to import volatility.plugins.registry.amcache (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.mac.check_syscall_shadow (ImportError: No module named distorm3)                                                                                      
*** Failed to import volatility.plugins.malware.svcscan (ImportError: No module named Crypto.Hash)
^[^A*** Failed to import volatility.plugins.registry.auditpol (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.ssdt (NameError: name 'distorm3' is not defined)
*** Failed to import volatility.plugins.registry.registryapi (ImportError: No module named Crypto.Hash)                                                                                       
*** Failed to import volatility.plugins.mac.apihooks (ImportError: No module named distorm3)
*** Failed to import volatility.plugins.envars (ImportError: No module named Crypto.Hash)
INFO    : volatility.debug    : Determining profile based on KDBG search...                                                                                                                   
          Suggested Profile(s) : Win7SP1x64, Win7SP0x64, Win2008R2SP0x64, Win2008R2SP1x64_24000, Win2008R2SP1x64_23418, Win2008R2SP1x64, Win7SP1x64_24000, Win7SP1x64_23418  

由于该kali版本的python2和python3是共存的,但是vol2.6又是基于python2的,所以会导致库有问题。


通过上面的报错分析

ImportError: No module named Crypto.Hash
ImportError: No module named distorm3

可以得出我们的Crypto和distorm3有问题(防止小白看不懂我们一个个来分析


由于是python2,所以pip也要用pip2的版本


按正常逻辑一般什么库报错我们就安装什么库,于是小伙伴就pip2 install crypto,虽然库是装上了但是发现一样报错,网上查阅资料发现安装这个库pycrypto,发现一堆报错直接安装不上。


其实Crypto Pycrypto Pycryptodome这三个东西是同一个东西,Crypto 在Python上的名字是叫Pycrypto,是一个第三方库,而Pycrypto作者已经停更了所以会装不上,现在,他来了!!Pycryptodome是Pycrypto的延伸版本,语法都是一样的,所以我们直接


pip2 install pycryptodome


安装好后再次运行Vol发现已经减少了大部分报错了

接下来继续解决distorm3这个库的问题,尝试直接安装,一样安装不上,这里因为distorm3新版本都是基于Python3的,所以我们这边安装老版本的即可

pip2 install distorm3==3.3.4

已经没有报错了。


1.2 Python第三方库pillow报错

后来发现有些题目要求取证线索为当前镜像的截屏,使用screenshot也会报错,发现没有PIL这个库,于是尝试安装,也安装不上。


586ce3faecff65d8fe05349ac12fb159_c84f6ab2b9b1819f3317088b88f63757.png


其实PIL这个库貌似也跑路了,被Pillow代替了,语法也都一样,直接pip2安装即可

pip2 install pillow

由于部分比赛环境限制,不得不采用的kali2021.3 以及 vol2.6的环境来做,本文给大家总结了踩到的坑。

相关文章
|
20天前
|
安全 Linux
Linux通配符及其在文件搜索和管理中的应用
Linux通配符及其在文件搜索和管理中的应用
|
12天前
|
存储 安全 Linux
|
13天前
|
Linux
Linux 中RPM软件包管理
Linux 中RPM软件包管理
|
14天前
|
缓存 监控 关系型数据库
深入理解Linux操作系统的内存管理机制
【7月更文挑战第11天】在数字时代的浪潮中,Linux操作系统凭借其强大的功能和灵活性,成为了服务器、云计算以及嵌入式系统等领域的首选平台。内存管理作为操作系统的核心组成部分,对于系统的性能和稳定性有着至关重要的影响。本文将深入探讨Linux内存管理的基本原理、关键技术以及性能优化策略,旨在为读者提供一个全面而深入的理解视角,帮助开发者和系统管理员更好地优化和管理Linux系统。
|
20天前
|
SQL 自然语言处理 网络协议
【Linux开发实战指南】基于TCP、进程数据结构与SQL数据库:构建在线云词典系统(含注册、登录、查询、历史记录管理功能及源码分享)
TCP(Transmission Control Protocol)连接是互联网上最常用的一种面向连接、可靠的、基于字节流的传输层通信协议。建立TCP连接需要经过著名的“三次握手”过程: 1. SYN(同步序列编号):客户端发送一个SYN包给服务器,并进入SYN_SEND状态,等待服务器确认。 2. SYN-ACK:服务器收到SYN包后,回应一个SYN-ACK(SYN+ACKnowledgment)包,告诉客户端其接收到了请求,并同意建立连接,此时服务器进入SYN_RECV状态。 3. ACK(确认字符):客户端收到服务器的SYN-ACK包后,发送一个ACK包给服务器,确认收到了服务器的确
144 1
|
13天前
|
消息中间件 Linux
【Linux】进程间通信——system V(共享内存 | 消息队列 | 信号量)(下)
【Linux】进程间通信——system V(共享内存 | 消息队列 | 信号量)(下)
34 0
|
13天前
|
消息中间件 存储 Linux
【Linux】进程间通信——system V(共享内存 | 消息队列 | 信号量)(上)
【Linux】进程间通信——system V(共享内存 | 消息队列 | 信号量)(上)
23 0
|
14天前
|
设计模式 安全 Java
Java面试题:请列举三种常用的设计模式,并分别给出在Java中的应用场景?请分析Java内存管理中的主要问题,并提出相应的优化策略?请简述Java多线程编程中的常见问题,并给出解决方案
Java面试题:请列举三种常用的设计模式,并分别给出在Java中的应用场景?请分析Java内存管理中的主要问题,并提出相应的优化策略?请简述Java多线程编程中的常见问题,并给出解决方案
24 0
|
15天前
|
监控 Linux 网络安全
使用 Kali Linux 实现 Smurf
使用 Kali Linux 实现 Smurf
|
20天前
|
Linux 调度
部署02-我们一般接触的是Mos和Wimdows这两款操作系统,很少接触到Linux,操作系统的概述,硬件是由计算机系统中由电子和机械,光电元件所组成的,CPU,内存,硬盘,软件是用户与计算机接口之间
部署02-我们一般接触的是Mos和Wimdows这两款操作系统,很少接触到Linux,操作系统的概述,硬件是由计算机系统中由电子和机械,光电元件所组成的,CPU,内存,硬盘,软件是用户与计算机接口之间