Linux内存取证之网络信息取证(Volatility 取证)

最新推荐文章于 2024-09-15 21:58:44 发布
最新推荐文章于 2024-09-15 21:58:44 发布
阅读量1.5k 收藏 1
点赞数 1
分类专栏: linux 恶意代码取证 文章标签: linux volatility
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NFMSR/article/details/81563042
版权
本文探讨了Linux内存取证中的网络信息取证,包括Bash历史记录的分析方法,如通过Volatility的Linux_bash、Linux_bash_hash和Linux_bash_env插件检查历史记录和二进制文件。同时,介绍了检查网络连接的Volatility Linux_netstat插件,恢复内核队列数据包的linux_pkt_queue插件,以及调查网络接口、路由缓存和ARP缓存的工具。注意在使用某些插件时可能存在的风险,如-R参数可能导致DNS请求被操纵。
摘要由CSDN通过智能技术生成
  1. Linux Bash history 分析:
    1. 对抗Bash history分析的方法:
      1. HISTFILE变量在 ~./bashrc 中
      2. Unsetting the HISTFILE environment variable (命令:unset HISTORY)或者将变量指向 /dev/null
      3. 设置 HISTSIZE变量=0
      4. 利用SSH 登陆时 加上-T参数
    2. Linux Bash 分析:
      1. Volatility Linux_bash 插件 ,查看历史记录
      2. Volatility linux_bash_hash 插件,检查可执行二进制文件是否被替换
      3. Volatility linux_bash_env 插件,作用同上
  2. Linux Network
    1. 检查网络连接:Volatility Linux_netstat
    2. 检查内核队列数据包:内核队列数据包会一直发送或者接收通过网络直到服务端或者客户端处理它们,因此当服务端网络拥堵或者客户端尝试上传大文件时,会有潜在的数据存储在队列中,可以用linux_pkt_queue插件进行恢复。
    3. 例子:python vol.py --profile=LinuxDebian-3_2x64 -f debian.lime     linux_pkt_queues -D output
      1. -D 代表生成文件的路径目录
      2. 命令生成的文件命名格式为:The filename is created as <receive or send>.<PID>.<file descriptor number>
      3. 查看上述生成的文件࿱
最低0.47元/天 解锁文章
NFMSR
关注
专栏目录
linux 内存 取证,使用volatility进行linux内存取证
weixin_39805195的博客
05-07 1418
0前言在对linux进行取证时,通常需要进行内存取证,而volatility是一个很wonderful的工具,它集成了windows版本的profile文件,linux需要自己制作profile文件。1安装dwarfdump这是一款调试信息导出库,具体安装流程为:# git clone https://github.com/tomhughes/libdwarf.git# apt-get insta...
kali 安装volatility_Linux内存取证工具Volatility使用
weixin_39605521的博客
12-18 1427
#01简介Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。项目地址:https://code.google.com/p/volatility/只介绍简单的使用,详细使用方法可以看CheatSheet。在官方网站包含Linux的相关命令参考:https://code.google.com/p/vol...
全面解析取证技术:流量分析、内存镜像取证与磁盘镜像取证
最新发布
m0_57836225的博客
09-15 962
在数字时代,取证技术对于维护网络安全、解决法律纠纷以及保护个人和企业的权益至关重要。本文将深入探讨取证技术的三个主要方面:流量分析、内存镜像取证和磁盘镜像取证,为读者提供全面且系统的指南。
linux 内存取证_Linux硬盘和内存镜像取证
weixin_33427476的博客
01-27 925
Linux硬盘和内存镜像取证在Windows系统上,有winhex等神器,可以方便的完成镜像取证等工作,如何将Linux系统硬盘和内存镜像数据给winhex等进行分析?除了通过dd等工具镜像为文件外,本文将介绍一个方法,将更方便的完成该工作。准备工作一台被镜像取证的电脑运行的Linux系统一台电脑运行的Windows系统两台电脑要能通过网络通信,并且最好是有线千M网络,因为Linux系统的硬盘数据...
linux内存管理(16) - volatility
weixin_41028621的博客
03-15 709
1.Linux Memory Extractor   A Loadable Kernel Module (LKM) which allows for volatile memory acquisition from Linux and Linux-based devices, such as Android. This makes LiME unique as it is the first...
linux监控内存的工具,Linux内存取证工具Volatility使用
weixin_36381298的博客
04-30 487
#01简介Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。项目地址:https://code.google.com/p/volatility/只介绍简单的使用,详细使用方法可以看CheatSheet。在官方网站包含Linux的相关命令参考:https://code.google.com/p/vol...
volatility内存取证软件,可用于windows环境下
09-20
The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) ...
内存取证 volatility
07-12
Volatility是一款强大的开源工具,专门用于进行内存取证分析,它可以从Windows、Linux、Mac OS X等多种操作系统获取内存信息。在本篇文章,我们将深入探讨Volatility 3.2.4.1版本的功能、工作原理以及如何使用它...
linux 内存取证_Linux内存取证lime+volatility(原创2019年10月10日)
weixin_31502485的博客
01-27 1277
前提环境:linux要有python环境,有git工具,没有的话直接配置apt更新源(具体方法网上搜索),然后使用如下命令安装环境和工具即可:apt-getinstall pythonapt-getinstall git第一步:下载4个工具Linux内存提取工具lime,内存分析工具volatility及相关libelf、libdwarf下载完之后就会在目录下对应生成4个文件夹如下图第二步:提取镜...
linux volatility 命令合集
09-06
linux volatility 内存镜像获取命令大全,亲自实践之后总结归纳得出来的详细版本,大家可以学习学习。kali集成了volatility,可以下载使用
溯源取证-Linux内存取证 难度篇
weixin_48421613的博客
04-14 2634
此处场景为linux环境下的rootkit病毒,我们通过这篇文章可以通过内存取证发现rootkit病毒相关的知识,我个人觉得还是挺实用的,比较linux的rootkit病毒在不借助工具的前提下是不太好发现的
Volatility内存取证
12-30
在Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
浏览器历史记录取证工具
01-26
browsinghistoryview是一个读取Web浏览器(Internet Explorer、Mozilla Firefox、Google chrome和safari)历史数据实用程序,并在一个表显示所有这些浏览器的网站浏览历史记录。
Volatility3内存取证工具安装及入门在Linux下的安装教程
Geek极安云科-致力于网络安全事业
12-11 5076
Volatility 是一个完全开源的工具,用于从内存 (RAM) 样本提取数字工件。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证。针对竞赛这块(CTF、技能大赛等)基本上都是用在Misc方向的取证题上面,很多没有听说过或者不会用这款工具的同学在打比赛的时候就很难受。以前很多赛项都是使用vol2.6都可以完成,但是由于操作系统更新,部分系统2.6已经不支持了,如:Win10 等镜像,而Volatility3是支持这些新版本操作系统的。
内存取证-volatility工具的使用 (史上更全教程,更全命令
热门推荐
路baby的博客
10-20 8万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
内存取证volatility工具命令详解
渗透测试研究中心
12-02 2426
一、环境安装 1.kali下安装Volatility2 注意:一般Volatility2比Volatility3好用 wget https://bootstrap.pypa.io/pip/2.7/get-pip.py python2 get-pip.py python2 -m pip install Crypto python2 -m pip install pycryptod...
内存取证-volatility工具的使用 (史上更全教程,更全命令)_volatility内存取证(2)
2401_85013565的博客
05-15 965
amcache - 打印 AmCache 信息apihooks - 检测进程和内核内存的 API 挂钩atoms - 打印会话和窗口站原子表atomscan - 原子表的池扫描器auditpol - 从 HKLM\SECURITY\Policy\PolAdtEv 打印出审计策略。
信息安全 day03
Snow_224的博客
11-03 217
网络安全工具
volatility使用教程
ZJPC007的博客
11-10 571
回车即可在分析之前,需要先判断当前的镜像信息,分析出是哪个操作系统 命令imageinfo即可获取镜像信息。在查到操作系统后如果不确定可以使用以下命令查看volatility - f xxx.vmem --profile= [操作系统] volshell。打开下载的文件夹之后,直接在上面输入cmd,打开终端(这个文件不一定要放在这个软件的文件夹里,我只是为了方便所以放的,个人建议不要这样做)因为网上实在找不到一个正常的教程。后面是如何让他运行,比如我想要用他打开一个后缀名为mem的文件。
深入了解内存取证工具Volatility3
Volatility是一个开源的内存取证分析工具,它用于分析内存转储文件,帮助安全研究人员和取证分析师提取关键信息,包括进程、网络连接、系统配置、已加载的驱动程序、打开的句柄等,而不需要在目标系统上安装任何软件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值