Hola a tod@s!!
Hace tiempo que salió al público el estupendo trabajo de muchos investigadores que dio como resultado la herramienta Volafility Framework.
Los que me conocéis, sabéis que yo llevo dando por saco con el tema de la memoria RAM desde hace bastante tiempo. Gracias a Dios, que conforme más tiempo pasa, más información sobre este tema hay.
Yo mismo he dado algún que otro Webcast en Microsoft sobre este mismo tema, he hablado en las FIST, y en algún que otro Asegur@IT.
El Framework está escrito en su totalidad en Python. En su día, para hacer funcionar la herramienta, tanto en Windows como en Linux o MAC, tan sólo hacía falta instalar Python y vualá! Ya teníamos el Framework en funcionamiento.
Hoy día la cosa ha cambiado bastante. Existen multitud de Plugins que hacen de la herramienta una tool muy poderosa para analizar por completo la memoria RAM, pudiendo ahorrar costes en tiempo en un análisis forense corporativo o por proyecto. E incluso por diversión!!
El problema para gente que está empezando en esto, es que a día de hoy existen tantos plugins y dependencias, que instalar la herramienta desde cero, y dotarla de una funcionalidad aceptable, puede conllevar una inversión de tiempo importante.
Esto lo pensó en su día Jamie Levy (aka Gleeda), colaboradora habitual en el desarrollo de Volatility Framework, y desarrolló, entre otros impresionantes plugins, uno con la posibilidad de descargar todos los plugins de un tirón. El script para la versión 1.4 de la herramienta, e instalación bajo Linux, lo tenéis disponible aquí.
Yo he realizado mi particular script (en batch! con dos cojones!! jaja) para la total instalación de Volatility Framework, junto con todas sus dependencias. Entre las «capacidades» del Script de instalación se encuentran los siguientes puntos:
- Descarga e instalación de Python, MinGW
- Descarga e instalación de YARA (Gracias Hispasec!!), PYGame, PIL (Python Image Library), Distorm3
- Descarga e instalación de Volatility Framework 1.3 (Versión estable)
- Descarga e instalación de Plugins válidos para la versión 1.3
- Compilación automática e instalación de diversos plugins
- Procesado de Logs de todo lo que se descarga
- Procesado de HASH (MD5 y SHA1) de todo lo que se descarga
- Inclusión de rutas en PATH para dotar de máxima funcionalidad
- Inclusión de shell de comandos con el botón derecho del ratón para facilitar el análisis (Open cmd Here)
Ahora mismo, el script es totalmente funcional para instalarlo en Windows XP/Vista/7, y, como hoy en el FTSAI nos vamos a «pelear» con la memoria y todos sus componentes, me ha parecido buena idea colgarlo por aquí.
En su día, hablando con Lympex de opensec.es, éste me pasó una versión que desarrolló para Linux, la cual todavía no he puesto en el proyecto, debido a que tiene que actualizarse. Me ha prometido que cuando la tenga funcional la colgará en el proyecto.
El proyecto está alojado en Google, y ahora sí…. No tienes excusa para seguir ampliando conocimientos en materia Forense, porque documentación hay, y facilidades también!!
http://code.google.com/p/volatility-installer/
Esta semana he empezado a realizar el mismo script en PowerShell, debido a que como batch tiene muchas restricciones, he tenido que «tirar» de herramientas de terceros, como 7zip, wget y HashMyFiles para hacerla totalmente funcional. El script es muy sencillo de utilizar y no requiere parámetros. Sólo doble clic, y a jugar….
Nota: Tanto Python, como las dependencias, junto con MinGW, se instalan de manera interactiva con el usuario. Las instalaciones son del entorno Next–>Next, menos MinGW, que necesitaremos marcar las opciones de MAKE, más el compilador. Este paso de «interacción» es necesario, ya que de manera desatendida no se compilan bien algunas bibliotecas en Python bajo Windows.
Doy por supuesto (y por invitado!) que colaboraciones y ayudas, serán muy, pero que muy bien recibidas…..
Update.- Chema, de opensec, ya me ha pasado el script de instalación y está subido al proyecto. Su script soporta la instalación de Volatility Framework en los sistemas Arch, Debian y FreeBSD!
Buen fin de semana a tod@s!!
El diario de Juanito 
Me va a tocar probarlo, porque todo lo que nos ahorre tiempo hay que tenerlo a mano 😀
Por cierto, una errata en la página de google code «Script maked in bash to perform a full installation of Volatility Framework tool » … bash no 🙂
Saludos
Iiiichhhh!! Errata!! Warning!! Puto corrector!!
Fix it!!
Gracias!!
gracias por el aporte!!
¡Voy a probarlo!
Muy interesante esta automatización… instalación para torp… esto, para usuarios de Windows, jejeje.
Saludos.
Lastima que ahora mismo estoy liado con otra cosa, pero en cuanto termine le echo un vistazo.
Como mejoras incluiria la descarga mediante un cliente svn de la ultima version de desarrollo (ya lo suficientemente estable) y depuraria un poco mas el «codigo».
Saludos