Introducción a Volatility 2

Volatility Framework es una de las herramientas más potentes y utilizadas en el campo del análisis forense digital y la respuesta a incidentes. Nos permite examinar volcados de memoria RAM (memory dumps) para extraer información crucial sobre el estado del sistema en el momento de la captura, como procesos activos, conexiones de red, claves de registro, y artefactos maliciosos.

Aunque Volatility 3 está disponible y es la versión recomendada para nuevos proyectos, en muchas ocasiones, por compatibilidad con plugins antiguos o análisis de volcados específicos, es necesario utilizar Volatility 2. Esta guía se centra en su instalación, generalmente sobre un sistema basado en Linux (como Ubuntu).

Requisitos Previos

Para instalar Volatility 2, necesitarás un entorno que soporte las dependencias necesarias. Recomendamos enfáticamente usar un sistema operativo Linux para esta tarea, ya que es donde históricamente ha tenido mejor soporte y rendimiento.

• Un sistema operativo Linux (ej. Ubuntu).
• Python 2.7 o Python 3.x (aunque Volatility 2 fue diseñado para Python 2, muchas distribuciones modernas requieren adaptaciones o el uso de entornos virtuales).
• pip (el gestor de paquetes de Python).

Paso a Paso: Instalación de Volatility 2

El método más limpio y recomendado es el uso de un entorno virtual de Python para aislar las dependencias.

Paso 1: Preparar el Entorno

Primero, asegúrate de que Python y pip estén instalados. Si usas una versión moderna de Linux, probablemente necesites instalar las dependencias de desarrollo necesarias para compilar ciertos módulos.

# Actualizar el sistema (ejemplo en Debian/Ubuntu)
sudo apt update
sudo apt install python python-pip python-dev build-essential

Paso 2: Crear y Activar un Entorno Virtual (Recomendado)

Esto evita conflictos con las librerías del sistema principal.

1. Instala virtualenv si no lo tienes:

   pip install virtualenv

2. Crea el entorno llamado vol2env:

   virtualenv vol2env

3. Activa el entorno:

   source vol2env/bin/activate

   Verás (vol2env) al inicio de tu prompt, indicando que está activo.

Paso 3: Clonar y Compilar Volatility 2

La forma más fiable es descargar directamente el repositorio oficial o una versión estable conocida. Usaremos el repositorio de GitHub (aunque es importante notar que el desarrollo principal se movió a Volatility 3).

1. Clona el repositorio de Volatility 2 (busca el tag o rama adecuada si necesitas una versión muy específica):

   git clone https://github.com/volatilityfoundation/volatility.git
   cd volatility

2. Instala las dependencias necesarias usando pip dentro del entorno activado:

   pip install -r requirements.txt

Paso 4: Verificación de la Instalación

Una vez instaladas las dependencias, puedes verificar que Volatility se ejecuta correctamente llamando al script principal con el parámetro --help.

python vol.py --help

Si ves la lista de comandos disponibles (como pslist, netscan, etc.), la instalación ha sido exitosa. Recuerda que vol.py es el ejecutable principal dentro del directorio clonado.

Errores Comunes

• Dependencias Faltantes (Build Errors): Si ves errores durante la instalación de requirements.txt relacionados con paquetes binarios (como lxml o módulos de criptografía), probablemente te falten las librerías de desarrollo del sistema. Asegúrate de haber ejecutado sudo apt install build-essential python-dev antes de activar el entorno.
• Ejecución sin Entorno Virtual: Si ejecutas python vol.py fuera del entorno virtual y tienes versiones de Python 3 instaladas, podrías tener problemas de compatibilidad ya que Volatility 2 está optimizado para Python 2.7. Usa siempre el entorno virtual creado.
• Permisos de Ejecución: Asegúrate de que el script vol.py no requiere permisos de ejecución explícitos si lo haces como python vol.py. Si prefieres ejecutarlo directamente, necesitarás añadir el permiso: chmod +x vol.py.

Checklist Final

1. ¿He actualizado mi sistema base (apt update)?
2. ¿He creado y activado un entorno virtual (source vol2env/bin/activate)?
3. ¿He clonado el repositorio de Volatility 2?
4. ¿He instalado las dependencias con pip install -r requirements.txt dentro del entorno?
5. ¿Puedo ejecutar python vol.py --help sin errores?