linux 内存 取证,使用volatility进行linux内存取证

最新推荐文章于 2024-07-15 12:00:12 发布
最新推荐文章于 2024-07-15 12:00:12 发布
阅读量1.3k 收藏 2
点赞数
文章标签: linux 内存 取证
本文介绍了如何在Linux环境下使用Volatility工具进行内存取证。首先,详细阐述了安装dwarfdump的步骤,接着讲解如何制作profile文件,包括生成module.dwarf和打包zip文件。然后,介绍了获取内存镜像的方法,包括本地和远程。最后,演示了如何分析内存镜像,使用Volatility获取进程列表。
摘要由CSDN通过智能技术生成

0前言

在对linux进行取证时,通常需要进行内存取证,而volatility是一个很wonderful的工具,它集成了windows版本的profile文件,linux需要自己制作profile文件。

1安装dwarfdump

这是一款调试信息导出库,具体安装流程为:

# git clone https://github.com/tomhughes/libdwarf.git

# apt-get install libelf1 libelf-dev gcc

# cd libdwarf/

# ./configure

# make

# cd dwarfdump/

# make install

如果报错,检查libelf-dev库是否安装成功,及automake是否安装成功。

2制作profile文件

2.1.进入volatility相关目录,生成module.dwarf文件

# cd /volatility/tools/linux

# make

2.2.将module.dwarf文件和/boot中对应目标系统内核版本的System.map文件打包成.zip文件,放入/volatility/volatility/plugins/overlays/linux/目录中

# cd/volatility/volatility/plugins/overlays/linux

# zip Ubuntu64.zip /root/volatility/tools/linux/module.dwarf/boot/System.map-`uname -r`

# cd/volatility/volatility/plugins/overl

最低0.47元/天 解锁文章
weixin_39805195
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux 内存取证_Linux内存取证lime+volatility(原创2019年10月10日)
weixin_31502485的博客
01-27 1240
前提环境:linux要有python环境,有git工具,没有的话直接配置apt更新源(具体方法网上搜索),然后使用如下命令安装环境和工具即可:apt-getinstall pythonapt-getinstall git第一步:下载4个工具Linux内存提取工具lime,内存分析工具volatility及相关libelf、libdwarf下载完之后就会在目录下对应生成4个文件夹如下图第二步:提取镜...
kali 安装volatility_Linux内存取证工具Volatility使用
weixin_39605521的博客
12-18 1316
#01简介Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。项目地址:https://code.google.com/p/volatility/只介绍简单的使用,详细使用方法可以看CheatSheet。在官方网站包含Linux的相关命令参考:https://code.google.com/p/vol...
Kali Linux 数字取证(一)
最新发布
龙哥盟
07-15 870
在今天的世界中,新的威胁、违规行为和恶意活动经常在新闻、网站和门户网站上被发现和发布。尽管我们尽力保护我们的数据、系统和网络,但仍然会发生违规行为。为了了解发生了什么,我们转向数字取证领域。尽管数字取证仍然是一个相对较新的领域,但在考虑到任何访问互联网并意图进行恶意活动的人可以获得的大量信息时,取证已经变得和安全一样重要。值得庆幸的是,数字指纹和工件有时会留下痕迹,无论是在已删除或隐藏的文件、电子邮件、某人的浏览历史、远程连接列表,甚至是移动短信中。
(P25)运算符重载:类型转换运算符 ,->运算符 ,operator new、operator delete,new运算符的3种用法
喜欢打篮球的普通人
09-17 248
文章目录 指针运算符重载 new有3种用法 new operator:不能被重载 operator new:可以被重载 placement new Test* p1 = new Test(100); // 称作是:new operator,new operator = operator new内存分配 + 构造函数的调用 利用VS2008,跟踪一下,按下F9, 按下F11,调用operator new,传递了一个大小进来,当前类的大小是4个字节 按下shift F11可以跳出这个函数,或者按下F1
linux内存取证,基于Linux内核的内存取证系统的研究
weixin_31622725的博客
05-11 201
摘要:计算机取证(computer forensics)是数字取证学科的一个分支,其通过相关的手段对计算机系统或者数字存储介质进行识别,保存,恢复和分析,获取到计算机犯罪罪行的直接证据或者间接证据,在司法取证过程中有着重要的作用. Windows操作系统的用户众多,目前的取证大多是针对于Windows操作系统,而随着计算机的发展,Linux操作系统的用户也在逐渐上升,对于Linux操作系统的...
linux监控内存的工具,Linux内存取证工具Volatility使用
weixin_36381298的博客
04-30 476
#01简介Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。项目地址:https://code.google.com/p/volatility/只介绍简单的使用,详细使用方法可以看CheatSheet。在官方网站包含Linux的相关命令参考:https://code.google.com/p/vol...
linux内存镜像取证,Linux内存取证工具Volatility使用
weixin_42361070的博客
05-03 733
#01简介 Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。 项目地址: https://code.google.com/p/volatility/ 只介绍简单的使用,详细使用方法可以看CheatSheet。在官方网站包含Linux的#01简介Volatility是开源的Windows,Linux...
内存取证 volatility
07-12
Volatility是一款强大的开源工具,专门用于进行内存取证分析,它可以从Windows、Linux、Mac OS X等多种操作系统中获取内存信息。在本篇文章中,我们将深入探讨Volatility 3.2.4.1版本的功能、工作原理以及如何使用它...
Linux内存取证之网络信息取证Volatility 取证
NFMSR的博客
08-10 1550
Linux Bash history 分析: 对抗Bash history分析的方法: HISTFILE变量在 ~./bashrc 中 Unsetting the HISTFILE environment variable (命令:unset HISTORY)或者将变量指向 /dev/null 设置 HISTSIZE变量=0 利用SSH 登陆时 加上-T参数 Li...
linux取证内存取证
NFMSR的博客
07-19 2853
内存取证 内存取证工具:可以列出当前已经打开的文件,正在活动的网络连接,运行中的进程,甚至是一些被隐藏或没有运行但仍驻留在内存中的进程相关消息。 传统方法: 可读的文本和关键字搜索 工具: Volatility 方法学(内存取证的目的): 搜集信息:包括进程的详细信息,网络连接信息,和其他一些与潜在的恶意软件相关的信息,利用这些信息与从运行系统中获得信息进行比较分析 对于每个可疑的进程,如果...
Hit:Linux在线内存取证平台(Live Memory Forensic Tools Based on Linux for Rapid Response)
05-24
Hit Linux在线内存取证平台(Live Memory Forensic Tools Based on Linux for Rapid Response) by Zing
linux volatility 命令合集
09-06
linux volatility 内存镜像获取命令大全,亲自实践之后总结归纳得出来的详细版本,大家可以学习学习。kali中集成了volatility,可以下载使用
溯源取证-Linux内存取证 中难度篇
weixin_48421613的博客
04-14 2514
此处场景为linux环境下的rootkit病毒,我们通过这篇文章可以通过内存取证发现rootkit病毒相关的知识,我个人觉得还是挺实用的,比较linux的rootkit病毒在不借助工具的前提下是不太好发现的
linux 内存取证_内存取证工具-volatility、foremost
weixin_39747630的博客
01-27 602
内存取证1. 内存取证工具volatility猜测dump文件的profile值root@kali:~/CTF# volatility -f mem.vmem imageinfoVolatility Foundation Volatility Framework 2.6INFO : volatility.debug : Determining profile based on KDBG...
linux内存管理(16) - volatility
weixin_41028621的博客
03-15 673
1.Linux Memory Extractor   A Loadable Kernel Module (LKM) which allows for volatile memory acquisition from Linux and Linux-based devices, such as Android. This makes LiME unique as it is the first...
浅谈网络安全之内存取证
qidiandexiaowu
11-17 2020
简介:网络与信息技术的加速渗透和深度应用以及软件漏洞不断涌现,导致网络攻击和网络犯罪频发,造成了严重的网络安全威胁.计算机取证是打击计算机与网络犯罪的关键技术,其目的是将犯罪者留在计算机中的“攻击痕迹”提取出来,作为有效的诉讼证据提供给法庭,以便将犯罪嫌疑人绳之以法。作为一种实时提取数字证据、对抗网络攻击、打击网络犯罪的有力武器,内存取证已成为信息安全领域研究者所共同关注的热点。 内存的获取方法: 基于硬件的内存获取基于软件的内存获取 Windows操作系统平台支持内存获取的常见工具有: .
linux内存取证,Linux内存取证工具Volatility使用
weixin_29358053的博客
05-11 260
#01简介Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。项目地址:https://code.google.com/p/volatility/只介绍简单的使用,详细使用方法可以看CheatSheet。在官方网站包含Linux的相关命令参考:https://code.google.com/p/vol...
volatility 下载
01-13
Volatility 是一款用于数字取证和线下广告分析的开源框架。它被广泛用于分析恶意软件和黑客活动,以获取有关计算机系统和网络的信息。Volatility 可以分析内存转储文件,以便恢复已删除的信息、查找潜在的入侵痕迹,并确定系统中运行的进程和服务。这个工具对于研究人员和调查人员来说非常有用,可以帮助他们理解和解决各种安全威胁。 要下载 Volatility,可以访问其官方网站或在 GitHub 上找到正确的下载链接。根据自己的操作系统和需求,选择适当的版本进行下载。一旦下载完成,解压缩文件并按照提供的文档和说明进行安装和配置。 Volatility 需要一些额外的工具和库来正常运行,如 Python 和相关的依赖项。确保系统中已安装这些必要的组件,以免出现任何运行时错误。当所有配置都完成后,即可开始使用 Volatility 进行内存分析。 通过命令行或脚本,使用 Volatility 启动内存分析。通过指定正确的参数和选项,可以运行各种分析插件和脚本,以获取所需的结果。这些结果可以是进程列表、网络连接、注册表项、文件列表等。分析结果可以导出为文本、CSV 或 HTML 格式,以供进一步的处理和研究。 总之,Volatility 是一个功能强大且广泛使用的数字取证和广告分析工具。下载并正确安装它后,你可以使用其内置的分析插件来研究计算机系统的内存转储,并得出有关系统状态和安全威胁的有价值信息。它对于提高数字安全和解决安全问题的能力非常有帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值