Tudo bem?
A ferramenta volatility é muito conhecida na forense de memória, aliás é uma das ferramentas mais populares de forense de memória no mundo open source.
Segundo o site desta ferramenta: The Volatility Foundation is an independent 501(c) (3) non-profit organization that maintains and promotes open source memory forensics with The Volatility Framework.
A questão é que muitas vezes nós encontramos o framework volatility em distribuições linux voltadas para forense computacional (e.g. CAINE, DEFT, SIFT, KALI, etc). E se eu quiser instalar em ambientes Windows? Como eu faço? É esse o propósito desse post: mostrar como instalar o volatility em ambientes Windows.
1) Instalando o Python
Muito bem, vamos lá. A primeira coisa a se fazer é baixar e instalar o python. O faq do volatility diz que pode ser o python 2.6 ou versões acima; mas não pode ser o python 3.x.
OBS: o wiki de instalação da ferramenta diz que podemos instalar pacotes adicionais (se formos usar certos plugins). Mas se instalarmos o básico, a ferramenta ainda irá funcionar. Nesse post, nós vamos instalar o básico da ferramenta.
Eu vou baixar e instalar a versão 2.7.0 do python.
Depois de instalar o python, eu preciso setar nas variáveis de ambiente do sistema.
Abro o painel de controle, clico na opção "Sistema e Segurança" e escolho a opção "Sistema". Depois disso clico na opção "Configurações avançadas do sistema"
Na janela que aparecer, eu escolho a aba "Avançado" e clico no botão "Variáveis de Ambiente"
Depois, no campo Variáveis do sistema, eu vou procurar pela variável "path" e clicar em "editar". Vai abrir uma nova janela para editar a variável do sistema; eu vou adicionar no fim da linha o sinal de ponto e vírgula (;) e o caminho completo de onde o python foi instalado (no meu caso, o python está no C:\Python27). Depois clico em OK
2) Instalando o Volatility
Eu vou baixar a última versão do volatility, que nesse momento é a 2.5. A versão do volatility é a 2.5 Windows Standalone Executable.zip
Eu vou criar uma pasta dentro do C:\ e vou renomeá-la para vol (C:\vol). E aí vou descompactar todo o conteúdo do arquivo volatility_2.5.win.standalone.zip lá dentro.
Depois, eu vou abrir o CMD do Windows e vou navegar até o diretório C:\vol (que é onde eu tenho o executável do volatility). E aí é só digitar no CMD: volatility.2.5-standalone.exe -h
3) Executando o Volatility
Eu vou mostrar a execução do volatility em um dump de memória de um CTF, o grrcon 2015. A linha de comando do volatility no windows é: volatility.exe -f [dump de memória a ser analisado] --profile=[profile que obtivemos usando o plugin imageinfo] [plugin que queremos usar]. Como exemplo, eu vou usar um dump de memória que tem o nome "Target1-1dd8701f.vmss". Portanto, a linha de comando para usar o volatility no windows fica assim: volatility.exe -f "c:\grrcon 2015\target1\Target1-1dd8701f.vmss" --profile=Win7SP0x86 pslist
Bom, é isso.
O volatility rodou numa boa, sem nenhum problema.
Espero que esse post seja importante
Um abração!