第一次 按照大神的博客,完成这个实验,希望后来者,少入点坑
工具介绍:volatility
volatility是一款开源的内存取证分析工具,由python编写,支持各种操作系统。可以通过插件来拓展功能。kali下集成了该工具,命令行输入volatility使用该工具。
Volatility‐f [image]-‐profile=[profile]
[plugin]
--info查看扫描检查、插件、地址空间等信息
-h查看帮助信息
[plugin]–h指定插件的帮助信息
--output-file=[file]检查结果输出
实验镜像:
我们在这里即将分析的镜像是Challenge 7 of the Forensic Challenge 2011–Forensic
Analysis of a Compromised Server的题目,我们可以在https://www.honeynet.org/challenges/2011_7_compromised_server这下载到相应的镜像文件。
注意:三个都要下载。
第一步分析镜像文件
分析镜像文件,我们可以通过挂载的方式,来确定镜像的系统的版本,我们才可以制作相应的profile,或者搜索相应的profile。
我们先挂载镜像mount -o loop victoria-v8.sda1.img /mnt将镜像挂载到/mnt。
切换到/mnt目录
cd /mnt
<