制作Linux内存镜像+制作对应的volatility profile

最新推荐文章于 2022-03-24 21:35:19 发布
最新推荐文章于 2022-03-24 21:35:19 发布
阅读量5.2k 收藏 13
点赞数 8
分类专栏: # 内存取证 取证 文章标签: linux bash
不允许转载
本文链接:https://blog.csdn.net/weixin_46081055/article/details/121897319
版权

制作Linux内存镜像+制作对应的volatility profile

文章目录

制作Linux内存镜像

工具有很多,我这里用lmg
理论上lmg可以把linux内存文件(memory.lime),volatility profile一次性全整出来,但是我不知道为什么报错了
只打内存镜像用LIME就可以了
在这里插入图片描述

lmg安装

Lmg:https://github.com/halpomeranz/lmg  脚本主程序
avml:https://github.com/microsoft/avml/releases/tag/v0.3.0(可直接下载二进制文件) Linux的便携式内存采集工具
LiME:https://github.com/504ensicsLabs/LiME

1.在lmg里面建一个新的文件夹imgg,将需要的文件放进去
在这里插入图片描述 在这里插入图片描述
2.修改avml二进制文件名

mv avml avml-$(uname -m)
mv avml-convert avml-convert-$(uname -m)

添加执行权限

chmod +x avml-convert-x86_64

3.进入到LiME/src目录

patch < ../../../../lmg/lime-Makefile.patch

需要先安装patch

apt-get install patch

在这里插入图片描述4.使用lmg
安装完成,可以使用二进制文件lmg来转储Linux系统内存

./lmg -y

保存路径在当前目录下capture文件下
在这里插入图片描述
我profile.zip没做出来

Whatever directory name is used, the directory will contain:

   <hostname>-YYYY-MM-DD_hh.mm.ss-memory.lime  -- the RAM capture
   <hostname>-YYYY-MM-DD_hh.mm.ss-profile.zip  -- Volatility(TM) profile
   <hostname>-YYYY-MM-DD_hh.mm.ss-bash         -- copy of target's /bin/bash
   volatilityrc                                -- prototype Volatility config file

制作volatility profile

首先要安装dwarfdump(调试文件导出工具)&GCC/Make()&KernelHeaders(待分析系统的内核头文件)

sudo apt-get install dwarfdump 
sudo apt-get install build-essential

在这里插入图片描述
KernelHeaders可以根据uname -r得到内核版本,不过这个我没有安装

linux-header-`uname -r`

1.创建vtypes

vtypes是内核数据结构,为创建该数据结构,我们需要检查我们的源码并针对我们要分析的系统内核编译module.c文件,这将会为我们生成一个名为module.dwarf文件,该文件包含了我们所需的内核调试信息。

cd volatility/tools/linux
make

在这里插入图片描述

2.获取符号表

一般我们可以在/boot目录下找到该System.map文件。该文件包含系统的符号信息。
在这里插入图片描述

3.制作用户配置文件

将moudle.dwarf以及system.map文件打包成一个zip文件,放在volatility/plugins/overlays/linux下。

sudo zip ./volatility/plugins/overlays/linux/Ubuntu.zip ./tools/linux/module.dwarf /boot/System.map-`uname -r`

在这里插入图片描述

使用profile

放在volatility/plugins/overlays/linux下之后查看info

root@volatility-master# python vol.py --info|grep Linux
Volatility Foundation Volatility Framew
最低0.47元/天 解锁文章
shu天
关注
  • 8
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
linux 内存取证_Linux内存取证lime+volatility(原创2019年10月10日)
weixin_31502485的博客
01-27 1202
前提环境:linux要有python环境,有git工具,没有的话直接配置apt更新源(具体方法网上搜索),然后使用如下命令安装环境和工具即可:apt-getinstall pythonapt-getinstall git第一步:下载4个工具Linux内存提取工具lime,内存分析工具volatility及相关libelf、libdwarf下载完之后就会在目录下对应生成4个文件夹如下图第二步:提取镜...
linux volatility 命令合集
09-06
linux volatility 内存镜像获取命令大全,亲自实践之后总结归纳得出来的详细版本,大家可以学习学习。kali中集成了volatility,可以下载使用
地址 kali linux_Microsoft AVML|Linux内存提取工具
weixin_36410316的博客
01-12 944
之前的Linux内存取证是使用dd命令复制物理内存dev/mem或者dev/kmem,但新的Linux系统增加了对这些文件访问的限制。目前大多使用的是Linux MemoryExtractor(LiME),但需要编译就使操作不那么简单了。 那有没有更简单的方法呢?Microsoft AVML(Acquire Volatile Memory for Linux)就是一个操作很简...
网络安全应急响应----10、内存分析
七天
03-24 7752
文章目录一、基于软件的内存获取技术和工具1.1、利用对象或设备直接读取物理内存的软件1.2、利用驱动或内核扩展读取物理内存的软件二、基于硬件的内存获取技术和工具2.1、使用网卡获取物理内存2.3、基于PCI Express接口获取物理内存2.4、基于Thunderbolt接口获取物理内存三、内存获取的其他方式3.1、虚拟化环境下获取内存3.2、内存转储(Memory Dump)方式3.3、休眠文件保存的内存信息3.4、页面交换文件中的内存信息 目前的内存镜像获取方法主要分为基于硬件设备的和基于软件的。两
Linux镜像工具大全
Connor_xie的博客
07-23 2759
1、Linux官方镜像 Deepin镜像 https://www.deepin.org/mirrors/releases/ Mint 镜像 https://www.linuxmint.com/mirrors.php kernel 镜像站: http://mirrors.kernel.org/ Fedora 官方镜像站: http://mirrors.fedoraproject.org/public...
linux物理内存镜像获取工具,一种Linux系统物理内存镜像文件分析方法_3
weixin_39616547的博客
05-02 274
图;[0053] 图4为本发明的实施例中update_iter函数的调用关系图;[0054] 图5为本发明的实施例中update_iter在内存中的内容;[0055] 图6为本发明的实施例中进程结构关系图;[0056] 图7为本发明的实施例中模块结构关系图;[0057] 图8为本发明中64位小页模式下地址转换示意图;[0058] 图9为本发明中64位大页模式下地址转换示意图;[0059] 图10为...
制作面向VolatilityLinux配置文件.pdf
09-05
制作面向VolatilityLinux配置文件是一项关键任务,用于在内存取证分析中正确解析和理解Linux操作系统的内存镜像Volatility是一个强大的开源内存取证框架,主要用于Windows操作系统的内存分析,但对Linux支持则...
内存取证 volatility
最新发布
07-12
内存取证 volatility
volatility内存取证软件,可用于windows环境下
09-20
The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) ...
avml:AVML-获取Linux的易失性内存
02-05
avml:AVML-获取Linux的易失性内存
Volatility内存取证
12-30
在Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
linux制作内存系统,linux系统内存转换成硬盘使用
weixin_28358083的博客
04-30 102
解决问题点:1:站点数据提速,数据放入内存空间,速度指数级提升;2:数据库缓存;3:临时数据处理;4:等等。。。#查看系统内存[root@appcollect-5-10 ~]# free -mtotal used free shared buff/cache availableMem: 64257 861 6...
Linux内存挂载成硬盘提高读写速度-内存虚拟盘
blade2001的专栏
05-20 1万+
tmpfs是一种虚拟内存文件系统正如这个定义它最大的特点就是它的存储空间在VM里面,这里提一下VM(virtual memory),VM是由linux内核里面的vm子系统管理,现在大多数操作系统都采用了虚拟内存管理机制。linux下面VM的大小由RM(Real Memory)和swap组成,RM的大小就是物理内存的大小,而Swap的大小是由你自己决定的。Swap是通过硬盘虚拟出来的内存空间,因此它
linux进程内存映象解析
boboboke
08-25 4474
一、程序如何转化为进程程序转化为进程一般有两个步骤: 1、内核会将程序从磁盘读入内存,为程序分配内存空间 2、内核会为进程保存PID以及相应的状态信息(保存在task_struct中),将进程放在运行队列中等待执行。 程序转变为进程以后就可以被操作系统调度程序执行了。二、内存映象内存映象指的是内核如何在内存中存放可执行程序。 在程序转化为进程的过程中,操作系统可直接将可执行程序复制到内存中,
linux 内存映像,一种Linux系统物理内存镜像文件分析方法
weixin_39978101的博客
04-30 248
一种Linux系统物理内存镜像文件分析方法【技术领域:】[0001]本发明涉及一种Linux系统物理内存镜像文件分析方法,更具体的说,尤其涉及一种无需获知操作系统的版本信息即可从物理内存镜像中恢复出内核变量符号表的Linux系统物理内存镜像文件分析方法。【背景技术:】[0002]美国空军特别调查办公室的Kornblum于2002年在DFRWS(DigitalForensicResearchWork...
volatility内存镜像取证
M3ng@L的博客
01-15 4079
volatility内存镜像取证 在misc中raw文件一般不是一个图像文件,RAW(图像文件)_百度百科 (baidu.com) 而是内存镜像文件,(10条消息) 内存映像文件简介_hust_sheng的专栏-CSDN博客_内存映像文件 也就是说在这个镜像文件里面,我们可以看到当时主机上运行的进程以及交换的文件 这里介绍使用volatility对raw文件进行取证,也就是是内存取证 volatility安装(10条消息) volatility安装及使用_陈止风的博客-CSDN博客_volatility安装
Linux内存检测工具:asan
热门推荐
Hansen的博客
09-24 5万+
Linux内存检测工具:asan ASAN(Address-Sanitizier)早先是LLVM中的特性,后被加入GCC 4.8,在GCC 4.9后加入对ARM平台的支持。因此GCC 4.8以上版本使用时不需要安装第三方库,通过在编译时指定编译CFLAGS即可打开开关。 1、编译选项 1.1 Gcc编译选项 # -fsanitize=address:开
Volatility 内存映像提取
06-06
要使用Volatility提取内存映像,可以按照以下步骤进行操作: 1. 下载和安装Volatility:可以从Volatility官网下载最新版本的Volatility,并按照官方文档进行安装。 2. 获取内存映像:要获取内存映像,可以使用dd命令将内存转储到文件中,例如: ``` dd if=/dev/mem of=memdump bs=1M count=1024 ``` 这个命令将内存中的前1024MB数据转储到memdump文件中。这个过程可能需要root权限。 3. 识别操作系统和内核版本:使用Volatility命令行工具,运行以下命令来识别内存映像中的操作系统和内核版本: ``` volatility -f memdump imageinfo ``` 这个命令会输出内存映像中的操作系统和内核版本信息。 4. 进行内存分析:使用Volatility命令行工具,可以运行各种插件来进行内存分析,例如: ``` volatility -f memdump pslist ``` 这个命令将输出内存映像中运行的进程列表。 以上是使用Volatility提取内存映像的基本步骤。Volatility还支持许多其他的插件和功能,可以根据需要进行使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shu天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值