概述
- Linux kernel 内存分析:
- Volatility Linux_iomem 插件:查看内存区域的地址范围
- 验证LIME获取区域是否完整,两个工具结果比较:Volatility limeInfo和Volatility linux_iomem | grep "System RAM",如果System RAM 缺失的话,暗示这工具设计的不符合,操作不准确
- 虚拟地址映射:32位系统, 用户空间低于3GB, 内核空间高于1GB,. 这意味这内核地址起始于0xC0000000 到 0xFFFFFFFF,64位系统中 内核地址起始于 0xFFFFFFFF80000000.
- linux_check_syscall 插件determine whether a handler is in a trusted region
- Kernel Debug Buffer:一些内核的组件或者驱动产生的一些log文件,这些文件存储在内核空间kernel’s debug ring buffer中,一般调用dmesg 查看,内存分析中调用linux_dmesg 查看
- Loadable kernel modules (LKMs):模块功能是确保代码动态的加载到运行的操作系统中。Kernel modules 是ELF文件,一般后缀为 .ko 。内核级的Rookit经常利用这些模块来操作系统
- Volatility Linux_lsmod 插件:查看加载的LKM文件:通过枚举全局变量表中Modules 变量。结果和lsmod 结果一样。
- –P选项,可以显示模块加载时候的参数选项
- –S选项,显示模块中每一小节的地址偏移
- 提取模块:python vol.py --profile=LinuxDebian-3_2x64 -f debian.lime linux_moddump -D dump -r lime
- -r 是正则,要提取的模块
- -D 文件存储的路径
最后
以上就是威武路人为你收集整理的linux内存取证之内核信息取证(Volatility取证)的全部内容,希望文章能够帮你解决linux内存取证之内核信息取证(Volatility取证)所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复