Domanda: Di recente, stavo installando Linux Memory Extractor (LiME) per acquisire il dump della memoria sulla macchina virtuale CentOS, inclusa la memoria volatile. Una volta che ho il dump, può essere analizzato utilizzando il software Volatility per indagare sulla memoria volatile per un'operazione forense. Sfortunatamente, l'installazione non è riuscita con un messaggio di errore come "Importerror:nessun modulo denominato Crypto.Hash '. Immagino che abbia qualcosa a che fare con la libreria Cryptographic, ma non sono sicuro di quale libreria o pacchetto debba essere installato. Qualsiasi suggerimento o aiuto sarebbe apprezzato.
Di seguito è riportato il messaggio di errore completo:
*** Failed to import volatility.plugins.malware.svcscan (ImportError: No module named Crypto.Hash) *** Failed to import volatility.plugins.registry.lsadump (ImportError: No module named Crypto.Hash) *** Failed to import volatility.plugins.registry.shellbags (ImportError: No module named Crypto.Hash) *** Failed to import volatility.plugins.registry.registryapi (ImportError: No module named Crypto.Hash) *** Failed to import volatility.plugins.evtlogs (ImportError: No module named Crypto.Hash) *** Failed to import volatility.plugins.getservicesids (ImportError: No module named Crypto.Hash) *** Failed to import volatility.plugins.registry.shimcache (ImportError: No module named Crypto.Hash) *** Failed to import volatility.plugins.timeliner (ImportError: No module named Crypto.Hash)
Risposta:
La tua ipotesi era giusta! Il programma sta cercando PyCrypto module – una libreria usata da alcuni plugin di registro come lsadump . Tuttavia, vedrai questo messaggio di errore quando utilizzi uno qualsiasi dei plugin. Se non stai usando lsadump , hashdump o qualsiasi altro plug-in del registro che utilizza PyCrypto, puoi tranquillamente ignorare il messaggio di errore. In caso contrario, installa PyCrypto e il messaggio scomparirà.
Puoi trovare i binari di PyCrypto qui. Ma questi binari sono principalmente per Windows. Se stai usando Linux, puoi installare PyCrypto usando PIP (sistema di gestione dei pacchetti per installare e gestire i pacchetti software scritti in Python). Scopri come Installare Python PIP .
Esegui il comando seguente per installare PyCrypto utilizzando PIP .
[root@openstack volatility-2.4]# pip install pycrypto
Collecting pycrypto
/usr/lib/python2.6/site-packages/pip/_vendor/requests/packages/urllib3/util/ssl_.py:90: InsecurePlatformWarning: A true SSLContext object is not available. This prevents urllib3 from configuring SSL appropriately and may cause certain SSL connections to fail. For more information, see https://urllib3.readthedocs.org/en/latest/security.html#insecureplatformwarning.
InsecurePlatformWarning
Using cached pycrypto-2.6.1.tar.gz
Building wheels for collected packages: pycrypto
Running setup.py bdist_wheel for pycrypto
Complete output from command /usr/bin/python -c "import setuptools;__file__='/tmp/pip-build-kCt2lm/pycrypto/setup.py';exec(compile(open(__file__).read().replace('\r\n', '\n'), __file__, 'exec'))" bdist_wheel -d /tmp/tmpYSKGXJpip-wheel-:
usage: -c [global_opts] cmd1 [cmd1_opts] [cmd2 [cmd2_opts] ...]
or: -c --help [cmd1 cmd2 ...]
or: -c --help-commands
or: -c cmd --help
error: invalid command 'bdist_wheel'
----------------------------------------
Failed building wheel for pycrypto
Failed to build pycrypto
Installing collected packages: pycrypto
Running setup.py install for pycrypto
Successfully installed pycrypto-2.6.1
Ora hai installato con successo PyCrypto Library. Anche il software di volatilità in esecuzione dovrebbe funzionare.