Error al ejecutar el software Volatility:no se pudo importar volatility.plugins.malware.svcscan (ImportError:ningún módulo llamado Crypto.Hash) [Resuelto]

Pregunta: Recientemente, estaba instalando Linux Memory Extractor (LiME) para adquirir un volcado de memoria en la máquina virtual CentOS, incluida la memoria volátil. Una vez que tengo el volcado, se puede analizar usando el software Volatility para investigar la memoria volátil para una operación forense. Desafortunadamente, la instalación falló con un mensaje de error como 'Importerror:ningún módulo llamado Crypto.Hash '. Supongo que tiene algo que ver con la biblioteca criptográfica, pero no estoy seguro de qué biblioteca o paquete debe instalarse. Cualquier sugerencia o una ayuda sería apreciada.

El siguiente es el mensaje de error completo:

*** Failed to import volatility.plugins.malware.svcscan (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.registry.lsadump (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.registry.shellbags (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.registry.registryapi (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.evtlogs (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.getservicesids (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.registry.shimcache (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.timeliner (ImportError: No module named Crypto.Hash)

Respuesta:

¡Tu conjetura fue correcta! El programa está buscando PyCrypto módulo:una biblioteca utilizada por algunos de los complementos de registro como lsadump . Sin embargo, verá este mensaje de error cuando use cualquiera de los complementos. Si no está utilizando lsadump , volcado de hash o cualquier otro complemento de registro que use PyCrypto, puede ignorar el mensaje de error de manera segura. De lo contrario, instale PyCrypto y el mensaje desaparecerá.

Puede encontrar los binarios de PyCrypto aquí. Pero estos binarios son principalmente para Windows. Si está usando Linux, puede instalar PyCrypto usando PIP (sistema de administración de paquetes para instalar y administrar paquetes de software escritos en Python). Más información sobre cómo instalar Python PIP .

Ejecute el siguiente comando para instalar PyCrypto usando PIP .

[root@openstack volatility-2.4]# pip install pycrypto
Collecting pycrypto
/usr/lib/python2.6/site-packages/pip/_vendor/requests/packages/urllib3/util/ssl_.py:90: InsecurePlatformWarning: A true SSLContext object is not available. This prevents urllib3 from configuring SSL appropriately and may cause certain SSL connections to fail. For more information, see https://urllib3.readthedocs.org/en/latest/security.html#insecureplatformwarning.
InsecurePlatformWarning
Using cached pycrypto-2.6.1.tar.gz
Building wheels for collected packages: pycrypto
Running setup.py bdist_wheel for pycrypto
Complete output from command /usr/bin/python -c "import setuptools;__file__='/tmp/pip-build-kCt2lm/pycrypto/setup.py';exec(compile(open(__file__).read().replace('\r\n', '\n'), __file__, 'exec'))" bdist_wheel -d /tmp/tmpYSKGXJpip-wheel-:
usage: -c [global_opts] cmd1 [cmd1_opts] [cmd2 [cmd2_opts] ...]
or: -c --help [cmd1 cmd2 ...]
or: -c --help-commands
or: -c cmd --help

error: invalid command 'bdist_wheel'

----------------------------------------
Failed building wheel for pycrypto
Failed to build pycrypto
Installing collected packages: pycrypto
Running setup.py install for pycrypto
Successfully installed pycrypto-2.6.1

Ahora ha instalado con éxito PyCrypto Library. El software de volatilidad en ejecución también debería funcionar.