- 博客(5)
- 收藏
- 关注
RSS订阅原创 Linux 内存取证之文件系统取证(Volatility取证)
File Systems 知识点 USB 通常挂载到 /mdia/external/文件夹下。/media是根目录文件 Mount 指令查看挂载情况,在内存分析中使用volatility linux_mount 插件 ext3/4,Linux系统中最常见的文件系统格式 sysfs,一个伪文件系统,通常挂载在/sys/文件夹下,保存一些硬件连接系统的信息。 proc...
2018-08-10 14:43:59
3100
2
原创 linux内存取证之内核信息取证(Volatility取证)
Linux kernel 内存分析: Volatility Linux_iomem 插件:查看内存区域的地址范围 验证LIME获取区域是否完整,两个工具结果比较:Volatility limeInfo和Volatility linux_iomem | grep "System RAM",如果System RAM 缺失的话,暗示这工具设计的不符合,操作不准确 虚拟地址映射:32位系统, 用...
2018-08-10 14:42:16
1136
原创 Linux内存取证之网络信息取证(Volatility 取证)
Linux Bash history 分析: 对抗Bash history分析的方法: HISTFILE变量在 ~./bashrc 中 Unsetting the HISTFILE environment variable (命令:unset HISTORY)或者将变量指向 /dev/null 设置 HISTSIZE变量=0 利用SSH 登陆时 加上-T参数 Li...
2018-08-10 14:40:03
1556
原创 Linux 内存取证 之进程空间取证(Volatility取证)
进程分析目标: 识别出进程和他们的父进程或者子进程(恶意进程的启动进程和别的不一样)pstree 区分内核中的进程(恶意进程通常作为内核进程来运行) grep UID /etc/{passwd,group} 将进程和用户或者组联系起来 进程地址空间分析目标: 学会怎样从一个内存dump中提取出进程的堆,栈,可执行代码的区域 Cat /proc/<pid>/maps...
2018-08-10 14:36:42
2936
原创 Linux 内存取证之常识问题
/dev/mem 文件只能存放896M RAM数据 Fmem和LIME 获取物理内存的差距 Fmem 创建一个字符驱动在用户区域,才可以有访问内存权限 Fmem优点是可以获取到超过896M的内存数据 Fmem缺点是需要调查员检查/proc/iomem 去确定哪些RAM被映射了。 LIME 直接加载一个内核驱动,所有的操作都在内核完成,不需要在用户区域和内核区域交换...
2018-08-10 14:34:38
741
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人