linux 镜像_Linux硬盘和内存镜像取证

最新推荐文章于 2021-12-17 08:47:21 发布
最新推荐文章于 2021-12-17 08:47:21 发布
阅读量342 收藏
点赞数
文章标签: linux 镜像 linux镜像 硬盘安装linux

Linux硬盘和内存镜像取证

在Windows系统上,有winhex等神器,可以方便的完成镜像取证等工作,如何将Linux系统硬盘和内存镜像数据给winhex等进行分析?除了通过dd等工具镜像为文件外,本文将介绍一个方法,将更方便的完成该工作。

准备工作

一台被镜像取证的电脑运行的Linux系统

一台电脑运行的Windows系统

两台电脑要能通过网络通信,并且最好是有线千M网络,因为Linux系统的硬盘数据,是通过网络传输到windows系统的虚拟磁盘上,所以网络速度至关重要。

安装软件

在Linux系统上,下载RFSD并运行,RFSD是跨平台的文件操作服务,通过该服务可实现读取Linux硬盘数据。

RFSD主页:http://ranfs.com/cn/?RFSD

执行如下命令:

 wget http://ranfs.com/pub/rfsd/all/get.sh -O -|sh -s /tmp/rfsd

或使用curl

curl http://ranfs.com/pub/rfsd/all/get.sh -o -|sh -s /tmp/rfsd

命令解释:假定安装/tmp/rfsd目录,由于要读取硬盘数据,这里可能会要求输入root密码。

如果需要提取内存镜像 cd pmem 编译并加载驱动,如下:

0de53eb00728f9a98bf0084ec20368fd.png 
cd pmem
make pmem
sudo insmod ./pmem.ko

防火墙配置,默认情况下,脚本自动配置了系统防火墙,放行了使用的端口,如果使用了其它防火墙,请手动放行端口,6688为rfp服务端口,必须放行 ,6686为rfps服务端口 和 6680为web调试和配置端口,根据需要放行。

在Windows系统上,下载RFDK并运行,RFDK是虚拟磁盘驱动器,可以把远程硬盘虚拟为本地磁盘。

RFDK主页:http://ranfs.com/cn/?RFDK

下载地址:http://ranfs.com/pub/rfdk/windows/rfdk.zip

下载到本地解压,执行install.bat等待安装完成,至此win上的准备工作完成。

更多的帮助见安装包里的:rfdk-cn.pdf

使用rfdk-gui挂载磁盘

在Windows上运行rfdk-gui,新建客户端连接如下图:

56e41faf4993e738805a320f6e26ba75.png

假定RFSD运行的电脑Ip地址为192.168.111.7,点击确定添加完成,这时主界面上会显示当前电脑,拥有的相关存储设备列表。

c73053de32463a9e623bb74dfa6665be.png

双击红圈/dev/sda,会弹出挂载磁盘配置对话框,默认只读,确定后就完成了磁盘挂载。

双击红圈 /dev/pmem,完成对linux物理内存挂载为本地磁盘,然后可以使用valgrind等工具,完成对内存取证等操作。

c17771e8ac77c288ef927df2fae4b614.png

注意:请确保网络正常,及RFSD正常运行,如果网络断了或RFSD异常关闭,虚拟磁盘将自动消失。

遇到不能解决的问题,请联系:tech@ranfs.com, 或加QQ群:599829506。

weixin_39785400
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
制作Linux内存镜像+制作对应的volatility profile
ShenZ的博客
12-13 5337
制作Linux内存镜像+制作对应的volatility profile 文章目录制作Linux内存镜像+制作对应的volatility profile制作Linux内存镜像lmg安装制作volatility profile1.创建vtypes2.获取符号表3.制作用户配置文件使用profilevolatility取证Linux命令 制作Linux内存镜像 工具有很多,我这里用lmg 理论上lmg可以把linux内存文件(memory.lime),volatility profile一次性全整出来,但是我不知
内存镜像转储取证
01-13
这个工具可以dump内存,将目前计算机的内存镜像保存为raw文件,然后方便使用kali中的取证工具进行取证分析。
那年,一步一步学linux c ---内存映像~~那些事~~
yuanjinxiu
03-03 293
转载请注明出处:http://blog.csdn.net/muge0913/article/details/7315197 内存映像其实就是在内存中创建一个和外存文件完全相同的映像。用户可以将整个文件映射到内存中也可以部分映射到内存。系统会将对内存映像的改动如实的反映到外存文件中。从而实现了通过内存映像对外存文件的操作。 内存映像的特点: 1、 可以加快对IO的操作速度。 2、 用...
linux 内存映像,一种Linux系统物理内存镜像文件分析方法
weixin_39978101的博客
04-30 255
一种Linux系统物理内存镜像文件分析方法【技术领域:】[0001]本发明涉及一种Linux系统物理内存镜像文件分析方法,更具体的说,尤其涉及一种无需获知操作系统的版本信息即可从物理内存镜像中恢复出内核变量符号表的Linux系统物理内存镜像文件分析方法。【背景技术:】[0002]美国空军特别调查办公室的Kornblum于2002年在DFRWS(DigitalForensicResearchWork...
linux物理内存镜像获取工具,一种Linux系统物理内存镜像文件分析方法_3
weixin_39616547的博客
05-02 283
图;[0053] 图4为本发明的实施例中update_iter函数的调用关系图;[0054] 图5为本发明的实施例中update_iter在内存中的内容;[0055] 图6为本发明的实施例中进程结构关系图;[0056] 图7为本发明的实施例中模块结构关系图;[0057] 图8为本发明中64位小页模式下地址转换示意图;[0058] 图9为本发明中64位大页模式下地址转换示意图;[0059] 图10为...
linux内存镜像技术,GitHub - oscomp/proj61-linux-address-range-memory-mirroring: Linux 内核内存镜像功能增强。...
weixin_32824725的博客
05-08 401
proj61-linux-address-range-memory-mirroring项目描述高端的 X86 和 ARM 服务器芯片支持局部内存镜像技术(Address Range Memory Mirroring),允许配置部分内存做成镜像,这部分内存区域对OS来说,可靠性更强。如果让关键数据或程序使用这部分内存,则可以提升系统的整体可靠性。比如:让内核跑在镜像内存区域,防止因内存硬件出现多 b...
UNIX/Linux系统取证之信息采集案例
02-02
在UNIX/Linux系统取证中,及时收集硬盘的信息至关重要,《Unix/Linux网络日志分析与流量监控》一书中,将详细讨论各种常见系统进程系统调用及镜像文件获取方法。下面简单举几个例子。在UNIX/Linux取证时很多系统和...
Linux硬盘文件分析取证-ssh1.img 题目
03-28
总的来说,Linux硬盘文件分析取证是一个涉及多方面知识的复杂任务,包括Linux系统管理、文件系统分析、网络协议理解、密码学和取证技术。通过对`ssh1.img`文件的深入研究,我们可以学习和提升这些技能,同时在CTF...
【2023年全国职业技能大赛“信息安全与评估”赛项】任务4-Linux内存取证WP+靶场环境
最新发布
04-20
而Kali Linux则是一个专门用于渗透测试和安全审计的操作系统,内置了大量的安全工具,包括内存取证工具。 Volatility是一款强大的开源内存取证框架,它能够在不触及硬盘的情况下分析运行中的系统或内存转储。...
linux 内存镜像提取命令,内存镜像获取工具推荐
weixin_36147027的博客
05-08 2544
Windows系统:moonsols,官方网站:http://www.moonsols.com/,有免费版和收费版,支持获取内存镜像,文件转换等功能,目前支持到Windows10。moonsols可以处理休眠文件(Hiberfil.sys),crashdump文件和raw memory dump文件,crashdump可以被winDBG加载进行分析,所以最终要转化为crashdump文件。1、获...
linux 内存镜像提取命令,从 Rescue System 中提取 InitRamFs 映像文件
weixin_42471893的博客
05-08 561
昨天晚上 Jactry 使用 Rescue for Lemote2f 打包龙芯笔记本上的操作系统,发现 Ext4 分区挂载不了,检查发现是内核没有编译进 Ext4 文件系统的支持(当时太粗心,忘记了 :))。准备重新编译这个 Rescue System,但是当时制作的 InitRamFs 已经早就没有了,在 Wuzhangjin 的帮助下成功的从 Rescue System 中提取出了映像文件。R...
Linux镜像工具大全
Connor_xie的博客
07-23 2783
1、Linux官方镜像 Deepin镜像 https://www.deepin.org/mirrors/releases/ Mint 镜像 https://www.linuxmint.com/mirrors.php kernel 镜像站: http://mirrors.kernel.org/ Fedora 官方镜像站: http://mirrors.fedoraproject.org/public...
Linux Command pmap 测试进程内存映射工具
爱死亡机器人
07-05 457
文章目录1. 简介2. 示例2.1 查看进程1的设备格式2.2 查看进程1的设备格式,不显示头尾行2.3 查看进程1的扩展格式2.4 循环显示进程3066的设备格式的最后1行,间隔2秒 1. 简介 pmap命令用于报告进程的内存映射关系,是Linux调试及运维一个很好的工具。 用法 pmap [ -x | -d ] [ -q ] pids... pmap -V 选项含义 -x extended Show the extended format. 显示扩展格式 -d devi
【C语言】Linux 下C程序的内存镜像
xiaoyu_wu的博客
12-17 1116
一. Linux C 的内存段分类有哪几种 1. 栈(stack):函数调用栈,非静态局部变量。 2. 堆(heap):用户用时自己申请 ,用完自己释放。 3. 文件映射区:文件映射区就是进程打开了文件后,将这个文件的内容从硬盘读到进程的文件映射区,以后直接在内存中操作这个文件,读写完了后在保存时再将内存中的文件写到硬盘中去 4. 数据段(.data):(data segment)通常是指用来存放程序中已初始化的全局变量的一块内存区域。数据段属于静态内存分配。 (1)显式初始化为非0的全局变量
linux内存镜像取证,Linux内存取证工具Volatility的使用
weixin_42361070的博客
05-03 720
#01简介 Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。 项目地址: https://code.google.com/p/volatility/ 只介绍简单的使用,详细使用方法可以看CheatSheet。在官方网站包含Linux的#01简介Volatility是开源的Windows,Linux...
linux制作内存镜像,基于Linux源代码及Busybox源代码制作精简可启动内核镜像技术实验方法...
weixin_35719402的博客
05-03 564
基于Linux源代码及Busybox源代码制作精简可启动内核镜像技术实验方法总结熊海泉内核源代码下载地址这里下载的是linux-2.6.38.tar.bz源代码下载地址这里下载的是busybox-1.18.4.tar.bz2工具下载地址这里可以在Fedora 13中直接用下面的命令行安装:#yum install unetbootin内核镜像内存虚拟盘根文件系统 内核镜像文件bzImage的编译...
Linux内存映像导出接口—kcore
weixin_33978016的博客
02-09 144
/proc/kcore文件提供了整个机器的内存映像,和vmcore不同的是,它提供了一个运行时的内存映像,为此和vmcore一样,内核提供了一个类似的但是稍显简单的kcore_list结构体,我们比较一下它们: struct kcore_list { 转载于:https://blog.51cto.com/dog250/1273399...
linux内存进行镜像,实例和镜像指南 Red Hat Enterprise Linux OpenStack Platform 7 | Red Hat Customer Portal...
weixin_33739574的博客
05-04 250
6.5.测试新的 NFS 后端为了测试新的 NFS 后端,在创建一个名为 nfsvolume 的云硬盘时调用云硬盘类型 nfstype:+---------------------+--------------------------------------+| Property | Value |+------...
linux进程内存映像,实战演练必修课|进程内存Dump与内存镜像Dump常用工具
weixin_32570803的博客
04-29 1484
原标题:实战演练必修课|进程内存Dump与内存镜像Dump常用工具「中睿大学」是中睿天下建设的网络攻防学习、交流与分享平台。聚焦「实战对抗」,基于中睿天下多年一线攻防实战经验,分享行业知识及优秀实践,帮助合作伙伴及用户等提升网络安全监测预警、分析研判、态势感知、攻击溯源以及应急处置等攻防能力。这次,我们走进「中睿大学」系列课程之“内存取证第一步——进程内存Dump与内存镜像Dump”。#内存转储#...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值