Failed to import volatility.plugins.malware.apihooks (NameError: name 'distorm3' is not defined)

最新推荐文章于 2024-09-15 07:45:02 发布
最新推荐文章于 2024-09-15 07:45:02 发布
阅读量5.1k 收藏
点赞数
分类专栏: 内存分析

转载地址:http://zambroid.blogspot.jp/2015/01/volatility-memory-dump-analysis.html

In this post I will share with you my first experiences working with Volatility 2.4.

As first use I installed it on a OS X machine, and in this case I hadn't to install Python. Yes, you read corectly, Python, but I'll install it soon on other OS to complete this post and give a complete installation and useage guide for everyone.
Volatility is a framework implemented in Python and it is used to extract digital artifacts from volatile memory.

With the latest version it supports Windows 8, 8.1, 2012 R2 and Mac OS X Mavericks (up to 10.9.4) memory dumps.

For any further information, you can have a look at official volatility web site: volatilityfoundation.org.

Now, let's start with the installation.
Installation
As I already mentioned, Python is required for volatility (2.6 or later, but not 3.0), so check that prerequisite:
    # python -V

Now check that pycrypto package is installed:
    # python  
    >>> help("modules")
In case your Python installation does't include pycrypto, install it as follows, after downloading it from www.dlitz.net:
    # tar zxf pycrypto-2.6.1.tar.gz
    # cd pycrypto-2.6.1 
    # sudo python setup.py build install
    # python
    >>> help("modules pycrypt")

    Here is a list of matching modules.  Enter any module name to get more help.
    
    Crypto.SelfTest.Cipher.common - Self-testing for PyCrypto hash modules
    Crypto.SelfTest.Hash.common - Self-testing for PyCrypto hash modules 

Now download the volatility source code package for Mac from the official repository with this link Volatility 2.4.
Open a shell and uncompress the package:
    # tar zxf /tmp/volatility-2.4.tar.gz

The installation of the software is really simple, you only need to run one command:
    # cd volatility-2.4
    # sudo python setup.py build install

It will take some time to install, and after check the installation with the following command:
    # python vol.py --info 

As you can see there is the following error:
    # python vol.py --info    Volatility Foundation Volatility Framework 2.4    *** Failed to import volatility.plugins.ssdt (NameError: name 'distorm3' is not defined)

    *** Failed to import volatility.plugins.mac.apihooks (ImportError: No module named distorm3)

    *** Failed to import volatility.plugins.linux.apihooks (ImportError: No module named distorm3)

    *** Failed to import volatility.plugins.malware.threads (NameError: name 'distorm3' is not defined)

    *** Failed to import volatility.plugins.mac.apihooks_kernel (ImportError: No module named distorm3)

    *** Failed to import volatility.plugins.malware.apihooks (NameError: name 'distorm3' is not defined)

    *** Failed to import volatility.plugins.mac.check_syscall_shadow (ImportError: No module named distorm3)
So, what is needed now is the distorm3 Python package (distorm3).
    # unzip distorm3-3.3.0.zip
    # cd distorm3-3.3.0
    # sudo python setup.py build install

Check again the installation:
    # cd ../distorm3-3.3.0
    # python vol.py --info

Now Volatility is ready to be used.

Usage
Volatility is structured in profiles and plugins:
Profiles are needed to analyse the memory dump. It is needed to specify from which OS the memory dump comes from
Plugins are the real analysis tools. There are a lot of plugins for various operations.
Plugins and profiles can be downloaded and added to volatility in an easy way: copy the needed files. 
Profiles are located in:
    volatility-2.4/volatility/plugins/overlays/<OS> 

Plugins are located in: 
    volatility-2.4/volatility/plugins/ 

Now that everything is ready, it is possible to analyse a memory dump with volatility:
    # python vol.py --profile=<OS_profile> -f <MemoryDumpFile> <plugin>  

The plugin list and description can be found here.

Be patient, learn, share, and play with your memory dumps :-) 

奋斗_小伙
关注
专栏目录
volatility3安装报错
admin的博客
11-02 1108
显示没法导入/usr/lib/libyara.so,这是python的一个库yara的lib文件。网上就这一篇教程,他给出的解决是安装yara,还给了俩方法,pip和apt-get,但是apt-get都提示无法定位软件包。pip和pip3都试了也没用。
内存取证-volatility工具的使用 (史上更全教程,更全命令)
路baby的博客
10-20 7万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
内存取证-Volatility安装使用以及一些CTF比赛题目
Bnessy
04-02 2万+
一 、简介 Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。 二 、安装Volatility 下载源码 https://github.com/volatilityfoundation/volatility 解压 unzip volatility-master.zip 安装依赖 crypto pip2 install pycryptodome #如果安装失败,可使用以下命令切换国内源 pip2
diStorm3 项目教程
最新发布
gitblog_00297的博客
09-15 363
diStorm3 项目教程 distorm3 项目地址: https://gitcode.com/gh_mirrors/di/distorm3 1. 项目的目录结构及介绍 ...
[笔记]Volatility 取证工具使用以及Hollow插件使用
二次元怪兽的博客
06-14 1649
Volatility内存取证使用Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。而Dumpit是用于生成Windows机器的物理内存转储,可运行在32位/64位系统中,可完美地部署在USB闪存盘上,快速响应事件。Volatility:https://github.com/volatilityfoundation/volatility win10 python2.7 DumpIt.exe执行时 报错 解决方案 htt
volatility2安装的各种报错问题处理
12-19 489
而kali又不会自带pip(就算自带好像也是python3以上的版本)所以这里需要安装python2版本的pip。会出现以上的错误error: invalid command ‘egg_info’,可执行以下代码。这是由我安装volatility时发现缺少各种库,各种报错引发的文章希望对你有帮助。(pip2是方便区分python2和python3版本的pip)查看版本号,看是不是已经是2.x版本。然后会报以上问题,我们执行下面的代码。这样volatility就能用了。然后再是总结会出现的问题。
【CTF-Misc】积累思路篇
LeeOrange_45的博客
03-30 550
misc积累思路吧
** Failed to import volatility.plugins.mimikatz (AttributeError: 'module' object has no attribute 'ULInt32')
08-14
这个错误可能是由于您使用的 Volatility 版本与所需的插件不兼容导致的。请确保您正在使用与 mimikatz 插件兼容的版本。您可以尝试更新或降级 Volatility 版本,或者查看是否有其他可用的插件版本可以解决此问题。...
Windows取证一
风炫的博客
03-26 7281
Windows取证 基础 取证通常作为一个公司的事件响应调查人员或者司法调查的取证人员,通过调查被入侵的机器,将被入侵者的行为轨迹梳理出来,还原整个入侵的过程。对于入侵者而言,了解电子取证,可以更全面的了解到自己能够在系统中留下的痕迹,从而具有针对性的消除痕迹,而对于取证人员来说,电子取证无疑是了解整个入侵过程的关键。电子取证近年来也发展为了一个独立的学科,其中在安全竞赛中,电子取证也作为一部分考察内容,被纳入到杂项的大类中,也有只考察取证的竞赛。下面从技术层面介绍Windows取证的相关知识。 审查日志
distorm3-3.3.4.zip
09-18
《深入理解distorm3-3.3.4:解析与应用》 在IT行业中,逆向工程是一项重要的技能,它涉及到程序分析、安全检测以及软件调试等多个领域。distorm3是一个开源的、高效的、跨平台的反汇编库,专为理解和解析二进制代码...
NameError: name 'Copula' is not defined
06-07
residual = model.resid / model.conditional_volatility residual.name = data.columns[i] residuals.append(residual) copula = GaussianMultivariate() copula.fit(pd.concat(residuals, axis=1)) ``` 在...
Volatility2.16 安装常见问题
qq_59706867的博客
12-05 632
具体操作可以看着连篇文章 Kali Linux下Volatility2.6常见问题疑难杂症-内存取证信息安全管理与评估-CSDN博客 Kali Python2.7安装pip2和模块方法_kali安装pip2-CSDN博客
Volatility安装遇到的问题之mimikatz插件安装
qq_42878458的博客
08-23 2561
数字取证学习
Windows取证一_ failed to import volatility
2401_85013826的博客
05-16 526
/fastIR_x64.py --packages (dump|fs|registry|memory|FileCatcher) 这里可以自定义选择模块,模块就是之前列表中介绍的,大家可以对应起来按照自己的需要进行dump。./fastIR_x64.py --packages all --output_dir 输入的文件夹。./fastIR_x64.py --packages all 包含所有模块。4698 创建计划任务。4699 删除计划任务。
NameError: name ‘xxx‘ is not defined问题总结
热门推荐
le000426的博客
12-21 15万+
最近在使用python写实验遇到这个问题: NameError: name ‘xxx’ is not defined 在学习python或者在使用python的过程中这个问题大家肯定都遇到过,在这里我就这个问题总结以下几种情况: 错误NameError: name ‘xxx’ is not defined总结 情况一:要加双引号(" ")或者(’ ')而没加 情况二:字符缩进格式的问题 情况三:if __name__=='__main__' : 没有和class类进行对齐 情况四:NameError: na
Volatility取证分析工具使用
xlsj雪松的博客
08-08 8341
1 基本使用与详情 首先查看它都有什么命令: 它有丰富的插件命令,可以完成大量的工作。 比如以下常用插件命令: Pslist 枚举系统中的进程。 Pstree 以树的形式枚举系统中的进程。 Modscan 扫描_ldr_data_table_entry对象的物理内存。 Kpcrscan 查找内存中用于定义内核处理器控制区域(KPCR)的_KPCR结构体信息。 Dlllist 显示...
Python NameError: name '_name_' is not define!解决方法
lw_waston的博客
09-16 2万+
大多数错误原因。是 name 和 define 写错了! name 和 define 都是双下划线 不是单下划线! 常见错误写法: if _name_==_main_ 正确写法: if __name__ == __main__ ...
反汇编引擎diStorm3
weixin_34291004的博客
06-09 242
2019独角兽企业重金招聘Python工程师标准>>> ...
NameError: name 'mnist' is not defined
coder_Gray的博客
11-17 1万+
在Tensorflow上进行mnist数字识别实例时,出现如下错误NameError: name 'mnist' is not defined当然mnist数据集不能直接使用,需要通过input_data模块进行初始化,所以要首先引入input_data模块,网上很多解决办法都是重新下载input_data模块,不过lz认为有些麻烦,毕竟这是TF自带模块,所以只需运行下面的这段代码:from ten
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值