Erreur lors de l'exécution du logiciel Volatility :Échec de l'importation de la volatilité.plugins.malware.svcscan (erreur d'importation :aucun module nommé Crypto.Hash) [Résolu]

Question : Récemment, j'installais Linux Memory Extractor (LiME) pour acquérir un vidage de mémoire sur la machine virtuelle CentOS, y compris la mémoire volatile. Une fois que j'ai le vidage, il peut être analysé à l'aide du logiciel Volatility pour enquêter sur la mémoire volatile pour une opération médico-légale. Malheureusement, l'installation a échoué avec un message d'erreur comme "Importerror :No module named Crypto.Hash ‘. Je suppose que cela a quelque chose à voir avec la bibliothèque cryptographique, mais je ne sais pas quelle bibliothèque ou quel package doit être installé. Toute suggestion ou aide serait appréciée.

Ci-dessous le message d'erreur complet :

*** Failed to import volatility.plugins.malware.svcscan (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.registry.lsadump (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.registry.shellbags (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.registry.registryapi (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.evtlogs (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.getservicesids (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.registry.shimcache (ImportError: No module named Crypto.Hash)
*** Failed to import volatility.plugins.timeliner (ImportError: No module named Crypto.Hash)

Réponse :

Votre supposition était bonne ! Le programme recherche PyCrypto module - une bibliothèque utilisée par certains plugins de registre comme lsadump . Cependant, vous verrez ce message d'erreur lors de l'utilisation de l'un des plugins. Si vous n'utilisez pas lsadump , hashdump ou tout autre plugin de registre qui utilise PyCrypto, vous pouvez ignorer en toute sécurité le message d'erreur. Sinon, installez PyCrypto et le message disparaîtra.

Vous pouvez trouver les binaires de PyCrypto ici. Mais ces fichiers binaires sont principalement destinés à Windows. Si vous utilisez Linux, vous pouvez installer PyCrypto à l'aide de PIP (système de gestion de packages pour installer et gérer des packages logiciels écrits en Python). Découvrez comment installer Python PIP .

Exécutez la commande ci-dessous pour installer PyCrypto en utilisant PIP .

[root@openstack volatility-2.4]# pip install pycrypto
Collecting pycrypto
/usr/lib/python2.6/site-packages/pip/_vendor/requests/packages/urllib3/util/ssl_.py:90: InsecurePlatformWarning: A true SSLContext object is not available. This prevents urllib3 from configuring SSL appropriately and may cause certain SSL connections to fail. For more information, see https://urllib3.readthedocs.org/en/latest/security.html#insecureplatformwarning.
InsecurePlatformWarning
Using cached pycrypto-2.6.1.tar.gz
Building wheels for collected packages: pycrypto
Running setup.py bdist_wheel for pycrypto
Complete output from command /usr/bin/python -c "import setuptools;__file__='/tmp/pip-build-kCt2lm/pycrypto/setup.py';exec(compile(open(__file__).read().replace('\r\n', '\n'), __file__, 'exec'))" bdist_wheel -d /tmp/tmpYSKGXJpip-wheel-:
usage: -c [global_opts] cmd1 [cmd1_opts] [cmd2 [cmd2_opts] ...]
or: -c --help [cmd1 cmd2 ...]
or: -c --help-commands
or: -c cmd --help

error: invalid command 'bdist_wheel'

----------------------------------------
Failed building wheel for pycrypto
Failed to build pycrypto
Installing collected packages: pycrypto
Running setup.py install for pycrypto
Successfully installed pycrypto-2.6.1

Vous avez maintenant installé avec succès la bibliothèque PyCrypto. Le logiciel de volatilité en cours d'exécution devrait également fonctionner.