Otázka: Nedávno jsem instaloval Linux Memory Extractor (LiME), abych získal výpis paměti na virtuálním počítači CentOS, včetně volatilní paměti. Jakmile budu mít výpis, lze jej analyzovat pomocí softwaru Volatility k prozkoumání nestálé paměti pro forenzní operaci. Instalace se bohužel nezdařila s chybovou zprávou „Importerror:No module Named Crypto.Hash ‘. Myslím, že to má něco společného s kryptografickou knihovnou, ale nejsem si jistý, která knihovna nebo balíček by měl být nainstalován. Budeme rádi za jakýkoli návrh nebo pomoc.
Níže je úplná chybová zpráva:
*** Failed to import volatility.plugins.malware.svcscan (ImportError: No module named Crypto.Hash) *** Failed to import volatility.plugins.registry.lsadump (ImportError: No module named Crypto.Hash) *** Failed to import volatility.plugins.registry.shellbags (ImportError: No module named Crypto.Hash) *** Failed to import volatility.plugins.registry.registryapi (ImportError: No module named Crypto.Hash) *** Failed to import volatility.plugins.evtlogs (ImportError: No module named Crypto.Hash) *** Failed to import volatility.plugins.getservicesids (ImportError: No module named Crypto.Hash) *** Failed to import volatility.plugins.registry.shimcache (ImportError: No module named Crypto.Hash) *** Failed to import volatility.plugins.timeliner (ImportError: No module named Crypto.Hash)
Odpověď:
Váš odhad byl správný! Program hledá PyCrypto module – knihovna, kterou používají některé zásuvné moduly registru, jako je lsadump . Tato chybová zpráva se však zobrazí při použití některého z pluginů. Pokud nepoužíváte lsadump , výpis hash nebo jakýkoli jiný zásuvný modul registru, který používá PyCrypto, můžete chybovou zprávu bezpečně ignorovat. V opačném případě nainstalujte PyCrypto a zpráva zmizí.
Binární soubory PyCrypto najdete zde. Ale tyto binární soubory jsou většinou pro Windows. Pokud používáte Linux, můžete PyCrypto nainstalovat pomocí PIP (systém správy balíků pro instalaci a správu softwarových balíků napsaných v Pythonu). Přečtěte si, jak Instalovat Python PIP .
Spusťte níže uvedený příkaz a nainstalujte PyCrypto pomocí PIP .
[root@openstack volatility-2.4]# pip install pycrypto
Collecting pycrypto
/usr/lib/python2.6/site-packages/pip/_vendor/requests/packages/urllib3/util/ssl_.py:90: InsecurePlatformWarning: A true SSLContext object is not available. This prevents urllib3 from configuring SSL appropriately and may cause certain SSL connections to fail. For more information, see https://urllib3.readthedocs.org/en/latest/security.html#insecureplatformwarning.
InsecurePlatformWarning
Using cached pycrypto-2.6.1.tar.gz
Building wheels for collected packages: pycrypto
Running setup.py bdist_wheel for pycrypto
Complete output from command /usr/bin/python -c "import setuptools;__file__='/tmp/pip-build-kCt2lm/pycrypto/setup.py';exec(compile(open(__file__).read().replace('\r\n', '\n'), __file__, 'exec'))" bdist_wheel -d /tmp/tmpYSKGXJpip-wheel-:
usage: -c [global_opts] cmd1 [cmd1_opts] [cmd2 [cmd2_opts] ...]
or: -c --help [cmd1 cmd2 ...]
or: -c --help-commands
or: -c cmd --help
error: invalid command 'bdist_wheel'
----------------------------------------
Failed building wheel for pycrypto
Failed to build pycrypto
Installing collected packages: pycrypto
Running setup.py install for pycrypto
Successfully installed pycrypto-2.6.1Nyní jste úspěšně nainstalovali PyCrypto Library. Spuštěný software pro volatilitu by měl fungovat také.