Frage: Kürzlich habe ich Linux Memory Extractor (LiME) installiert, um einen Speicherauszug auf der virtuellen CentOS-Maschine zu erhalten, einschließlich des flüchtigen Speichers. Sobald ich den Dump habe, kann er mit der Volatility-Software analysiert werden, um den flüchtigen Speicher für eine forensische Operation zu untersuchen. Leider schlug die Installation mit einer Fehlermeldung wie „Importerror:No module named Crypto.Hash fehl ‘. Ich denke, es hat etwas mit der kryptografischen Bibliothek zu tun, bin mir aber nicht sicher, welche Bibliothek oder welches Paket installiert werden soll. Jeder Vorschlag oder jede Hilfe wäre willkommen.
Unten ist die vollständige Fehlermeldung:
*** Failed to import volatility.plugins.malware.svcscan (ImportError: No module named Crypto.Hash) *** Failed to import volatility.plugins.registry.lsadump (ImportError: No module named Crypto.Hash) *** Failed to import volatility.plugins.registry.shellbags (ImportError: No module named Crypto.Hash) *** Failed to import volatility.plugins.registry.registryapi (ImportError: No module named Crypto.Hash) *** Failed to import volatility.plugins.evtlogs (ImportError: No module named Crypto.Hash) *** Failed to import volatility.plugins.getservicesids (ImportError: No module named Crypto.Hash) *** Failed to import volatility.plugins.registry.shimcache (ImportError: No module named Crypto.Hash) *** Failed to import volatility.plugins.timeliner (ImportError: No module named Crypto.Hash)
Antwort:
Deine Vermutung war richtig! Das Programm sucht nach PyCrypto Modul – eine Bibliothek, die von einigen Registrierungs-Plugins wie lsadump verwendet wird . Sie werden diese Fehlermeldung jedoch sehen, wenn Sie eines der Plugins verwenden. Wenn Sie lsadump nicht verwenden , Hashdump oder ein anderes Registrierungs-Plugin, das PyCrypto verwendet, dann können Sie die Fehlermeldung getrost ignorieren. Andernfalls installieren Sie PyCrypto und die Meldung verschwindet.
Die Binärdateien von PyCrypto finden Sie hier. Aber diese Binärdateien sind hauptsächlich für Windows. Wenn Sie Linux verwenden, können Sie PyCrypto mit PIP (Paketverwaltungssystem zum Installieren und Verwalten von in Python geschriebenen Softwarepaketen) installieren. Erfahren Sie, wie Sie Python PIP installieren .
Führen Sie den folgenden Befehl aus, um PyCrypto mit PIP zu installieren .
[root@openstack volatility-2.4]# pip install pycrypto
Collecting pycrypto
/usr/lib/python2.6/site-packages/pip/_vendor/requests/packages/urllib3/util/ssl_.py:90: InsecurePlatformWarning: A true SSLContext object is not available. This prevents urllib3 from configuring SSL appropriately and may cause certain SSL connections to fail. For more information, see https://urllib3.readthedocs.org/en/latest/security.html#insecureplatformwarning.
InsecurePlatformWarning
Using cached pycrypto-2.6.1.tar.gz
Building wheels for collected packages: pycrypto
Running setup.py bdist_wheel for pycrypto
Complete output from command /usr/bin/python -c "import setuptools;__file__='/tmp/pip-build-kCt2lm/pycrypto/setup.py';exec(compile(open(__file__).read().replace('\r\n', '\n'), __file__, 'exec'))" bdist_wheel -d /tmp/tmpYSKGXJpip-wheel-:
usage: -c [global_opts] cmd1 [cmd1_opts] [cmd2 [cmd2_opts] ...]
or: -c --help [cmd1 cmd2 ...]
or: -c --help-commands
or: -c cmd --help
error: invalid command 'bdist_wheel'
----------------------------------------
Failed building wheel for pycrypto
Failed to build pycrypto
Installing collected packages: pycrypto
Running setup.py install for pycrypto
Successfully installed pycrypto-2.6.1Jetzt haben Sie die PyCrypto Library erfolgreich installiert. Volatilitätssoftware, die ausgeführt wird, sollte ebenfalls funktionieren.