1. 首页
  2. 文章中心
  3. linux 内存 取证

linux 内存 取证,使用volatility进行linux内存取证

65 阅读 0 评论
我是靠谱客的博主 孝顺信封,这篇文章主要介绍linux 内存 取证,使用volatility进行linux内存取证,现在分享给大家,希望可以做个参考。

0前言

在对linux进行取证时,通常需要进行内存取证,而volatility是一个很wonderful的工具,它集成了windows版本的profile文件,linux需要自己制作profile文件。

1安装dwarfdump

这是一款调试信息导出库,具体安装流程为:

# git clone https://github.com/tomhughes/libdwarf.git

# apt-get install libelf1 libelf-dev gcc

# cd libdwarf/

# ./configure

# make

# cd dwarfdump/

# make install

如果报错,检查libelf-dev库是否安装成功,及automake是否安装成功。

2制作profile文件

2.1.进入volatility相关目录,生成module.dwarf文件

# cd /volatility/tools/linux

# make

2.2.将module.dwarf文件和/boot中对应目标系统内核版本的System.map文件打包成.zip文件,放入/volatility/volatility/plugins/overlays/linux/目录中

# cd/volatility/volatility/plugins/overlays/linux

# zip Ubuntu64.zip /root/volatility/tools/linux/module.dwarf/boot/System.map-`uname -r`

# cd/volatility/volatility/plugins/overl

最后

以上就是孝顺信封最近收集整理的关于linux 内存 取证,使用volatility进行linux内存取证的全部内容,更多相关linux内容请搜索靠谱客的其他文章。

本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
点赞(43)

相关文章

Linux 内存取证之文件系统取证(Volatility取证)
Linux 内存取证之文件系统取证(Volatility取证)
linux 内存取证_Linux内存取证:解析用户空间进程堆
linux 内存取证_Linux内存取证:解析用户空间进程堆
linux内存取证之内核信息取证(Volatility取证)
linux内存取证之内核信息取证(Volatility取证)
内存取证_Linux硬盘和内存镜像取证
内存取证_Linux硬盘和内存镜像取证
linux 内存 取证,使用volatility进行linux内存取证
linux 内存 取证,使用volatility进行linux内存取证
Volatility 内存数字取证方法
Volatility 内存数字取证方法
linux 内存取证_Linux内存取证lime+volatility(原创2019年10月10日)
linux 内存取证_Linux内存取证lime+volatility(原创2019年10月10日)
内存取证_CTF
内存取证_CTF

评论列表共有 0 条评论

立即
投稿
返回
顶部