linux下内存取证,Linux下内存取证工具Volatility的使用

最新推荐文章于 2024-07-15 12:00:12 发布
最新推荐文章于 2024-07-15 12:00:12 发布
阅读量619 收藏 1
点赞数
文章标签: linux下内存取证

#01简介

Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。

项目地址:

https://code.google.com/p/volatility/

只介绍简单的使用,详细使用方法可以看CheatSheet。在官方网站包含Linux的相关命令参考:

https://code.google.com/p/volatility/wiki/LinuxCommandReference23#linux_pidhashtable,含以下内容

Processes

linux_pslist

linux_psaux

linux_pstree

linux_pslist_cache

linux_pidhashtable

linux_psxview

linux_lsof

Process Memory

linux_memmap

linux_proc_maps

linux_dump_map

linux_bash

Kernel Memory and Objects

linux_lsmod

linux_moddump

linux_tmpfs

Rootkit Detection

linux_check_afinfo

linux_check_tty

linux_keyboard_notifier

linux_check_creds

linux_check_fop

linux_check_idt

linux_check_syscall

linux_check_modules

linux_check_creds

Networking

linux_arp

linux_ifconfig

linux_route_cache

linux_netstat

linux_pkt_queues

linux_sk_buff_cache

System Information

linux_cpuinfo

linux_dmesg

linux_iomem

linux_slabinfo

linux_mount

linux_mount_cache

linux_dentry_cache

linux_find_file

linux_vma_cache

Miscellaneous

linux_volshell

linux_yarascan

#02安装

源代码安装方法:

apt-get install subversion-tools

svn checkout http://volatility.googlecode.com/svn/trunk/ /usr/local/src/volatility/

参考:

https://code.google.com/p/volatility/wiki/VolatilityInstallation

Back Track和Kali Linux中自带此程序。

以Kali-Linux为例,volatility在“应用程序”-“Kali Linux”-“数字取证”-“内存取证工具集”中。

#03基本使用命令

./vol.py ‐f [image] ­‐profile=[profile] [plugin]

应该是一个Bug,-f后面需要跟绝对路径(Kali)。

查看扫描检查、插件、地址空间等信息

./vol.py --info

查看帮助信息

./vol.py -h/--help

查看指定插件的说明

./vol.py [plugin] --help

从扩展目录加载插件

./vol.py --plugins=[path][plugin]

检查结果输出

./vol.py --output-file=[file]

#04制作Linux系统的Profile

Volatility自带一些windows系统的profile,Linux系统的Profile需要自己制作,制作的方法如下:

(实际是将module.dwarf和system.map打包成一个zip文件,接着将zip文件移动到 volatility/plugins/overlays/linux/ 中。)

Linux的Profile文件是一个zip的压缩包。

准备

$ sudo zip volatility/volatility/plugins/overlays/linux/Ubuntu1204.zip volatility/tools/linux/module.dwarf /boot/System.map-3.2.0-23-generic

小白大王
关注
linux 内存 取证,使用volatility进行linux内存取证
weixin_39805195的博客
05-07 1417
0前言在对linux进行取证时,通常需要进行内存取证,而volatility是一个很wonderful的工具,它集成了windows版本的profile文件,linux需要自己制作profile文件。1安装dwarfdump这是一款调试信息导出库,具体安装流程为:# git clone https://github.com/tomhughes/libdwarf.git# apt-get insta...
linux 内存取证_Linux内存取证lime+volatility(原创2019年10月10日)
weixin_31502485的博客
01-27 1277
前提环境:linux要有python环境,有git工具,没有的话直接配置apt更新源(具体方法网上搜索),然后使用如下命令安装环境和工具即可:apt-getinstall pythonapt-getinstall git第一步:下载4个工具Linux内存提取工具lime,内存分析工具volatility及相关libelf、libdwarf下载完之后就会在目录下对应生成4个文件夹如下图第二步:提取镜...
Hit:Linux在线内存取证平台(Live Memory Forensic Tools Based on Linux for Rapid Response)
05-24
Hit Linux在线内存取证平台(Live Memory Forensic Tools Based on Linux for Rapid Response) by Zing
linux取证内存取证
NFMSR的博客
07-19 2927
内存取证 内存取证工具:可以列出当前已经打开的文件,正在活动的网络连接,运行中的进程,甚至是一些被隐藏或没有运行但仍驻留在内存中的进程相关消息。 传统方法: 可读的文本和关键字搜索 工具Volatility 方法学(内存取证的目的): 搜集信息:包括进程的详细信息,网络连接信息,和其他一些与潜在的恶意软件相关的信息,利用这些信息与从运行系统中获得信息进行比较分析 对于每个可疑的进程,如果...
linux内存取证,基于Linux内核的内存取证系统的研究
weixin_31622725的博客
05-11 214
摘要:计算机取证(computer forensics)是数字取证学科的一个分支,其通过相关的手段对计算机系统或者数字存储介质进行识别,保存,恢复和分析,获取到计算机犯罪罪行的直接证据或者间接证据,在司法取证过程中有着重要的作用. Windows操作系统的用户众多,目前的取证大多是针对于Windows操作系统,而随着计算机的发展,Linux操作系统的用户也在逐渐上升,对于Linux操作系统的...
linux内存镜像取证,Linux内存取证工具Volatility使用
weixin_42361070的博客
05-03 799
#01简介 Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。 项目地址: https://code.google.com/p/volatility/ 只介绍简单的使用,详细使用方法可以看CheatSheet。在官方网站包含Linux的#01简介Volatility是开源的Windows,Linux...
利用VolatilityLinux内存取证分析-常用命令翻译
17bdw的编程备份笔记
04-21 64
命令翻译 linux_apihooks - 检查用户名apihooks linux_arp - 打印ARP表 linux_aslr_shift - 自动检测Linux aslr改变 linux_banner - 打印Linux Banner信息 linux_bash ...
内存取证 volatility
07-12
Volatility是一款强大的开源工具,专门用于进行内存取证分析,它可以从Windows、Linux、Mac OS X等多种操作系统中获取内存信息。在本篇文章中,我们将深入探讨Volatility 3.2.4.1版本的功能、工作原理以及如何使用它...
内存取证-volatility工具使用
热门推荐
baynk的博客
05-11 2万+
0x00 volatility介绍 Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家合作开发的一套工具, 可以用于windows,linux,mac osx,android等系统内存取证Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。 在不同系统下都有不同的软件版本,官网地址:https://www.volatilityfoundation.org/26。 目前已经有一段时
Linux 内存取证之常识问题
NFMSR的博客
08-10 761
/dev/mem 文件只能存放896M RAM数据 Fmem和LIME 获取物理内存的差距 Fmem 创建一个字符驱动在用户区域,才可以有访问内存权限 Fmem优点是可以获取到超过896M的内存数据 Fmem缺点是需要调查员检查/proc/iomem 去确定哪些RAM被映射了。 LIME 直接加载一个内核驱动,所有的操作都在内核完成,不需要在用户区域和内核区域交换...
Kali Linux 数字取证(一)
最新发布
龙哥盟
07-15 1086
在今天的世界中,新的威胁、违规行为和恶意活动经常在新闻、网站和门户网站上被发现和发布。尽管我们尽力保护我们的数据、系统和网络,但仍然会发生违规行为。为了了解发生了什么,我们转向数字取证领域。尽管数字取证仍然是一个相对较新的领域,但在考虑到任何访问互联网并意图进行恶意活动的人可以获得的大量信息时,取证已经变得和安全一样重要。值得庆幸的是,数字指纹和工件有时会留下痕迹,无论是在已删除或隐藏的文件、电子邮件、某人的浏览历史、远程连接列表,甚至是移动短信中。
溯源取证-Linux内存取证 中难度篇
weixin_48421613的博客
04-14 2631
此处场景为linux环境下的rootkit病毒,我们通过这篇文章可以通过内存取证发现rootkit病毒相关的知识,我个人觉得还是挺实用的,比较linux的rootkit病毒在不借助工具的前提下是不太好发现的
linux 内存映像,一种Linux系统物理内存镜像文件分析方法
weixin_39978101的博客
04-30 279
一种Linux系统物理内存镜像文件分析方法【技术领域:】[0001]本发明涉及一种Linux系统物理内存镜像文件分析方法,更具体的说,尤其涉及一种无需获知操作系统的版本信息即可从物理内存镜像中恢复出内核变量符号表的Linux系统物理内存镜像文件分析方法。【背景技术:】[0002]美国空军特别调查办公室的Kornblum于2002年在DFRWS(DigitalForensicResearchWork...
内存取证volatility工具命令详解
渗透测试研究中心
12-02 2421
一、环境安装 1.kali下安装Volatility2 注意:一般Volatility2比Volatility3好用 wget https://bootstrap.pypa.io/pip/2.7/get-pip.py python2 get-pip.py python2 -m pip install Crypto python2 -m pip install pycryptod...
linux内存管理(16) - volatility
weixin_41028621的博客
03-15 709
1.Linux Memory Extractor   A Loadable Kernel Module (LKM) which allows for volatile memory acquisition from Linux and Linux-based devices, such as Android. This makes LiME unique as it is the first...
Linux系统入侵痕迹分析取证
留记
08-28 8655
获取基本信息 服务器配置 系统版本 计划任务 所有账户 获取网络信息 网络接口 [root@localhost ~]# ifconfig -a 开放端口 [root@localhost ~]# netstat -tanp [root@localhost ~]# ss -tanp 获取系统信息
linux volatility 命令合集
09-06
linux volatility 内存镜像获取命令大全,亲自实践之后总结归纳得出来的详细版本,大家可以学习学习。kali中集成了volatility,可以下载使用
linux监控内存工具,Linux内存取证工具Volatility使用
weixin_36381298的博客
04-30 487
#01简介Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。项目地址:https://code.google.com/p/volatility/只介绍简单的使用,详细使用方法可以看CheatSheet。在官方网站包含Linux的相关命令参考:https://code.google.com/p/vol...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值