制作Linux内存镜像+制作对应的volatility profile

最新推荐文章于 2023-05-14 12:58:23 发布
原创 最新推荐文章于 2023-05-14 12:58:23 发布 · 6.2k 阅读 · 17 ·
CC 4.0 BY-SA版权
不允许转载
文章标签:

#linux #bash

本文介绍了如何使用lmg工具创建Linux内存镜像,并详细阐述了制作Volatility分析配置文件的过程,包括创建vtypes、获取符号表和制作用户配置文件。虽然在制作profile.zip时遇到问题,但提供了相关工具和资源链接供进一步参考。

制作Linux内存镜像+制作对应的volatility profile

文章目录

制作Linux内存镜像

工具有很多,我这里用lmg
理论上lmg可以把linux内存文件(memory.lime),volatility profile一次性全整出来,但是我不知道为什么报错了
只打内存镜像用LIME就可以了
在这里插入图片描述

lmg安装

Lmg:https://github.com/halpomeranz/lmg  脚本主程序
avml:https://github.com/microsoft/avml/releases/tag/v0.3.0(可直接下载二进制文件) Linux的便携式内存采集工具
LiME:https://github.com/504ensicsLabs/LiME

1.在lmg里面建一个新的文件夹imgg,将需要的文件放进去
在这里插入图片描述 在这里插入图片描述
2.修改avml二进制文件名

mv avml avml-$(uname -m)
mv avml-convert avml-convert-$(uname -m)

添加执行权限

chmod +x avml-convert-x86_64

3.进入到LiME/src目录

patch < ../../../../lmg/lime-Makefile.patch

需要先安装patch

apt-get install patch

在这里插入图片描述4.使用lmg
安装完成,可以使用二进制文件lmg来转储Linux系统内存

./lmg -y

保存路径在当前目录下capture文件下
在这里插入图片描述
我profile.zip没做出来

Whatever directory name is used, the directory will contain:

   <hostname>-YYYY-MM-DD_hh.mm.ss-memory.lime  -- the RAM capture
   <hostname>-YYYY-MM-DD_hh.mm.ss-profile.zip  -- Volatility(TM) profile
   <hostname>-YYYY-MM-DD_hh.mm.ss-bash         -- copy of target's /bin/bash
   volatilityrc                                -- prototype Volatility config file

制作volatility profile

首先要安装dwarfdump(调试文件导出工具)&GCC/Make()&KernelHeaders(待分析系统的内核头文件)

sudo apt-get install dwarfdump 
sudo apt-get install build-essential

在这里插入图片描述
KernelHeaders可以根据uname -r得到内核版本,不过这个我没有安装

linux-header-`uname -r`

1.创建vtypes

vtypes是内核数据结构,为创建该数据结构,我们需要检查我们的源码并针对我们要分析的系统内核编译module.c文件,这将会为我们生成一个名为module.dwarf文件,该文件包含了我们所需的内核调试信息。

cd volatility/tools/linux
make

在这里插入图片描述

2.获取符号表

一般我们可以在/boot目录下找到该System.map文件。该文件包含系统的符号信息。
在这里插入图片描述

3.制作用户配置文件

将moudle.dwarf以及system.map文件打包成一个zip文件,放在volatility/plugins/overlays/linux下。

sudo zip ./volatility/plugins/overlays/linux/Ubuntu.zip ./tools/linux/module.dwarf /boot/System.map-`uname -r`

在这里插入图片描述

使用profile

放在volatility/plugins/overlays/linux下之后查看info

root@volatility-master# python vol.py --info|grep Linux
Volatility Foundation Volatility Framework 2.6.1
LinuxUbuntux64    - A Profile for Linux Ubuntu1404 x64
LinuxAMD64PagedMemory          - Linux-specific AMD 64-bit address space.
linux_aslr_shift           - Automatically detect the Linux ASLR
最低0.47元/天 解锁文章
kali环境运行volatility分析android内存文件,缺profile,如何解决??
**My Coding Family**
05-21 1024
ok,以上就是我这期的Bug修复内容啦,如果还想查找更多解决方案,你可以看看我专门收集Bug及提供解决方案的专栏「Bug调优」,都是实战中碰到的Bug,希望对你有所帮助。到此,咱们下期拜拜。码字不易,如果这篇文章对你有所帮助,帮忙给bugj菌来个,您的支持就是我坚持写作分享知识点传播技术的最大动力。「猿圈奇妙屋」;
linux 内存 取证,使用volatility进行linux内存取证
weixin_39805195的博客
05-07 1599
0前言在对linux进行取证时,通常需要进行内存取证,而volatility是一个很wonderful的工具,它集成了windows版本的profile文件,linux需要自己制作profile文件。1安装dwarfdump这是一款调试信息导出库,具体安装流程为:# git clone https://github.com/tomhughes/libdwarf.git# apt-get insta...
linux内存镜像取证,Linux下内存取证工具Volatility的使用
weixin_42361070的博客
05-03 952
#01简介 Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。 项目地址: https://code.google.com/p/volatility/ 只介绍简单的使用,详细使用方法可以看CheatSheet。在官方网站包含Linux的#01简介Volatility是开源的Windows,Linux...
linux内存镜像取证,W3bSafe-记一次Linux镜像取证
weixin_35224065的博客
05-03 553
查看题目要求下载这三个镜像并将victoria-v8.sda1.img挂载到/mnt目录下sudo mount -o loop victoria-v8.sda1.img /mnt在/mnt目录下可以看见首先查看系统版本cat etc/issue在var/log目录下查看Linux的版本然后制作版本对应profile,可自己手动制作,也可以使用github上制作好的Github项目:https:/...
制作基于X86小巧的内存Linux操作系统
12-12
制作基于X86小巧的内存Linux操作系统
那年,一步一步学linux c ---内存映像~~那些事~~
yuanjinxiu
03-03 423
转载请注明出处:http://blog.csdn.net/muge0913/article/details/7315197 内存映像其实就是在内存中创建一个和外存文件完全相同的映像。用户可以将整个文件映射到内存中也可以部分映射到内存。系统会将对内存映像的改动如实的反映到外存文件中。从而实现了通过内存映像对外存文件的操作。 内存映像的特点: 1、 可以加快对IO的操作速度。 2、 用...
linux 镜像_Linux硬盘和内存镜像取证
weixin_39785400的博客
11-28 500
Linux硬盘和内存镜像取证 在Windows系统上,有winhex等神器,可以方便的完成镜像取证等工作,如何将Linux系统硬盘和内存镜像数据给winhex等进行分析?除了通过dd等工具镜像为文件外,本文将介绍一个方法,将更方便的完成该工作。 准备工作一台被镜像取证的电脑运行的Linux系统一台电脑运行的Windows系统两台电脑要能通过网络通信,并且最好是有线千M网络,因为Linux系统的硬盘...
linux 内存取证_Linux内存取证lime+volatility(原创2019年10月10日)
weixin_31502485的博客
01-27 1436
前提环境:linux要有python环境,有git工具,没有的话直接配置apt更新源(具体方法网上搜索),然后使用如下命令安装环境和工具即可:apt-getinstall pythonapt-getinstall git第一步:下载4个工具Linux内存提取工具lime,内存分析工具volatility及相关libelf、libdwarf下载完之后就会在目录下对应生成4个文件夹如下图第二步:提取镜...
【FTK Imager篇】FTK Imager制作内存镜像
蘇小沐的电子数据取证博客
11-30 8537
【FTK Imager篇】FTK Imager制作内存镜像 ​ FTK Imager制作内存镜像—【suy】 文章目录【FTK Imager篇】FTK Imager制作内存镜像捕获内存镜像(一)菜单栏:文件->捕获内存镜像(二)工具栏:捕获内存镜像图标(三)内存镜像完成镜像文件与页信息文件 捕获内存镜像 可以从菜单栏或工具栏点击内存捕获按钮制作内存镜像。 (一)菜单栏:文件->捕获内存镜像 (二)工具栏:捕获内存镜像图标 填写镜像存储路径、镜像名;以及可选项:包括页信息、创建AD1文件
linux 内存镜像提取命令,内存镜像获取工具推荐
weixin_36147027的博客
05-08 3016
Windows系统:moonsols,官方网站:http://www.moonsols.com/,有免费版和收费版,支持获取内存镜像,文件转换等功能,目前支持到Windows10。moonsols可以处理休眠文件(Hiberfil.sys),crashdump文件和raw memory dump文件,crashdump可以被winDBG加载进行分析,所以最终要转化为crashdump文件。1、获...
【C语言】Linux 下C程序的内存镜像
xiaoyu_wu的博客
12-17 1215
一. Linux C 的内存段分类有哪几种 1. 栈(stack):函数调用栈,非静态局部变量。 2. 堆(heap):用户用时自己申请 ,用完自己释放。 3. 文件映射区:文件映射区就是进程打开了文件后,将这个文件的内容从硬盘读到进程的文件映射区,以后直接在内存中操作这个文件,读写完了后在保存时再将内存中的文件写到硬盘中去 4. 数据段(.data):(data segment)通常是指用来存放程序中已初始化的全局变量的一块内存区域。数据段属于静态内存分配。 (1)显式初始化为非0的全局变量
linux内存镜像技术,GitHub - oscomp/proj61-linux-address-range-memory-mirroring: Linux 内核内存镜像功能增强。...
weixin_32824725的博客
05-08 554
proj61-linux-address-range-memory-mirroring项目描述高端的 X86 和 ARM 服务器芯片支持局部内存镜像技术(Address Range Memory Mirroring),允许配置部分内存做成镜像,这部分内存区域对OS来说,可靠性更强。如果让关键数据或程序使用这部分内存,则可以提升系统的整体可靠性。比如:让内核跑在镜像内存区域,防止因内存硬件出现多 b...
linux制作内存镜像,基于Linux源代码及Busybox源代码制作精简可启动内核镜像技术实验方法...
weixin_35719402的博客
05-03 696
基于Linux源代码及Busybox源代码制作精简可启动内核镜像技术实验方法总结熊海泉内核源代码下载地址这里下载的是linux-2.6.38.tar.bz源代码下载地址这里下载的是busybox-1.18.4.tar.bz2工具下载地址这里可以在Fedora 13中直接用下面的命令行安装:#yum install unetbootin内核镜像及内存虚拟盘根文件系统 内核镜像文件bzImage的编译...
linux制作成内存系统,超级DIY:制作运行在内存中的Linux系统
weixin_29457191的博客
04-30 487
一般情况下,linux系统启动过程是,写在MBR上的bootloader加载内核,然后加载初启环境,即initrd;在initrd中,一般有个叫init或linuxrc的脚本(或ELF文件),该进程启动后,会先读取/etc/inittab下的内容,这是一个初始化表,用以确定执行/etc/rc.d下的哪个RC脚本,RC脚本执行完毕后,文件系统基本上就得到所有的硬件信息了,进而加载真正的根分区。现在要...
Linux 内存管理 (1): 内核镜像映射临时页表的建立
JiMoKuangXiangQu的专栏
05-14 1250
linux, 内存管理
linux 内存映像,一种Linux系统物理内存镜像文件分析方法
weixin_39978101的博客
04-30 366
一种Linux系统物理内存镜像文件分析方法【技术领域:】[0001]本发明涉及一种Linux系统物理内存镜像文件分析方法,更具体的说,尤其涉及一种无需获知操作系统的版本信息即可从物理内存镜像中恢复出内核变量符号表的Linux系统物理内存镜像文件分析方法。【背景技术:】[0002]美国空军特别调查办公室的Kornblum于2002年在DFRWS(DigitalForensicResearchWork...
linux进程内存映像,实战演练必修课|进程内存Dump与内存镜像Dump常用工具
weixin_32570803的博客
04-29 1716
原标题:实战演练必修课|进程内存Dump与内存镜像Dump常用工具「中睿大学」是中睿天下建设的网络攻防学习、交流与分享平台。聚焦「实战对抗」,基于中睿天下多年一线攻防实战经验,分享行业知识及优秀实践,帮助合作伙伴及用户等提升网络安全监测预警、分析研判、态势感知、攻击溯源以及应急处置等攻防能力。这次,我们走进「中睿大学」系列课程之“内存取证第一步——进程内存Dump与内存镜像Dump”。#内存转储#...
超级DIY:制作运行在内存中的Linux系统
weixin_34248487的博客
08-13 883
一般情况下,linux系统启 动过程是,写在MBR上的bootloader加载内核,然后加载初启环境,即initrd;在initrd中,一般有个叫init或linuxrc的脚 本(或ELF文件),该进程启动后,会先读取/etc/inittab下的内容,这是一个初始化表,用以确定执行/etc/rc.d下的哪个RC脚 本,RC脚本执行完毕后,文件系统基本上就得到所有的硬件信息了,进而加载真正的根...
volatility内存取证题目镜像
最新发布
01-04
### 使用 Volatility 进行内存取证实践 #### 案例背景介绍 为了展示如何使用 Volatility 工具进行有效的内存取证,下面将以 Windows Server 2008 R2 SP1 (64-bit) 的内存镜像 `2008.raw` 文件为例来说明具体的操作流程和命令应用。 #### 基本环境准备 确保已经安装并配置好最新版本的 Volatility 软件。对于 Linux 用户来说,可以通过源码编译或者通过包管理器如 pip 安装此工具[^3]。 #### 分析过程概述 当获取到目标机器的物理内存转储文件后,可以执行如下几个主要步骤来进行初步的信息收集: - **确认操作系统类型** 利用 `-f` 参数指定要分析的目标内存映像路径,并尝试识别其对应的系统概要文件(Profile),这一步骤至关重要因为不同的Windows版本有不同的数据结构布局。 ```bash volatility -f 2008.raw imageinfo ``` - **查看 Shim Cache 数据** 探索应用程序历史记录可以帮助了解曾经运行过的程序列表及其最后一次启动时间戳等信息,在某些情况下这些线索有助于追踪潜在的安全事件源头。 ```bash volatility -f 2008.raw --profile=Win2008R2SP1x64 shimcache ``` - **提取进程列表** 获取当前活动以及已终止但仍存在于内存中的所有进程详情,这对于检测隐藏或异常行为非常重要。 ```bash volatility -f 2008.raw pslist ``` - **网络连接状态检查** 查看是否存在可疑的远程通信端口开放情况或是非法建立的数据传输通道。 ```bash volatility -f 2008.raw netscan ``` 以上仅列举了一些基础却非常实用的功能模块;实际上Volatility还提供了更多高级特性支持更深入细致化的调查工作,比如插件开发接口允许第三方扩展功能以适应特定需求场景下的定制化要求[^2]。 #### 结果解释与报告撰写 完成上述各项测试之后,应当整理所得证据形成清晰易懂的技术文档提交给相关人员审阅。注意保持逻辑连贯性和条理性的同时也要注重保护敏感资料不被泄露出去。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值