Linux 内存取证 之进程空间取证(Volatility取证)

最新推荐文章于 2025-06-12 09:10:32 发布
最新推荐文章于 2025-06-12 09:10:32 发布
阅读量3.1k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: linux 恶意代码取证 文章标签: linux volatility q
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/NFMSR/article/details/81562939
本文详细介绍了如何进行Linux内存取证,特别是针对进程空间的分析。通过Volatility工具,可以识别进程及其父/子进程,检查内核进程,关联进程与用户/组,并分析进程地址空间,包括堆、栈和可执行代码区域。此外,还提到了如何提取映射内容,查看command line,检测环境变量和工作目录变化,以及分析共享库路径,以判断是否存在代码注入攻击。另外,文件句柄分析和进程上下文数据也是关键,如使用Volatility的Linux_lsof、linux_threads等模块,揭示进程读写文件行为及系统调用详情。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  1. 进程分析目标:
    1. 识别出进程和他们的父进程或者子进程(恶意进程的启动进程和别的不一样)pstree
    2. 区分内核中的进程(恶意进程通常作为内核进程来运行) grep UID /etc/{passwd,group}
    3. 将进程和用户或者组联系起来
  2. 进程地址空间分析目标:
    1. 学会怎样从一个内存dump中提取出进程的堆,栈,可执行代码的区域
      1. Cat /proc/<pid>/maps 可以看到对应的存储区域,结构为: start -end,flags(permissions),pgoff,Major:Minor,Inode,Path
      2. 上述结果和Volatility Linux_proc_maps 结果对比分析,看结果是否相同。
      3. 提取相应区域映射内容利用Volatility Linux_dump_map 工具,-p 指定 <pid> -s 指定 特定区域起始地址 –D 指定 提取文件类型 Dump ,举例:

python vol.py --profile=LinuxDebian-3_2x64 -f debian.lime linux_dump_map       -p 1 -s 0x400000 -D dump

    1. 知道从哪里查看调用进程的command line
      1. 利用Volatility Linux_psaux工具
    2. 找出一个进程的变量存储区域和验证环境变量是否修改
      1. Volatility Linux_psenv工具
      2. 内核线程没有环境变量,如果恶意进程伪装成内核进程则是有环境变量的
最低0.47元/天 解锁文章

200万优质内容无限畅学
Linux 内存取证之文件系统取证Volatility取证
NFMSR的博客
08-10 3296
File Systems 知识点 USB 通常挂载到 /mdia/external/文件夹下。/media是根目录文件 Mount 指令查看挂载情况,在内存分析中使用volatility linux_mount 插件 ext3/4,Linux系统中最常见的文件系统格式 sysfs,一个伪文件系统,通常挂载在/sys/文件夹下,保存一些硬件连接系统的信息。 proc...
volatility取证
sechelper的博客
12-07 1863
vil取证,常用命令合集,11道实践案例,CTF相关
linux取证内存取证
NFMSR的博客
07-19 3178
内存取证 内存取证工具:可以列出当前已经打开的文件,正在活动的网络连接,运行中的进程,甚至是一些被隐藏或没有运行但仍驻留在内存中的进程相关消息。 传统方法: 可读的文本和关键字搜索 工具: Volatility 方法学(内存取证的目的): 搜集信息:包括进程的详细信息,网络连接信息,和其他一些与潜在的恶意软件相关的信息,利用这些信息与从运行系统中获得信息进行比较分析 对于每个可疑的进程,如果...
Volatility3 Linux内存取证入门教程
最新发布
gitblog_00726的博客
06-12 352
Volatility3 Linux内存取证入门教程 概述 Volatility3是一款功能强大的内存取证分析工具,专门用于从内存转储中提取数字证据。本教程将重点介绍如何在Linux环境下使用Volatility3进行内存取证分析,包括获取内存转储、创建符号表以及使用各种插件进行取证分析。 内存获取方法 Volatility3本身不提供内存获取功能,需要借助第三方工具来获取Linux系统的内存转储。...
linux volatility 命令合集
09-06
linux volatility 内存镜像获取命令大全,亲自实践之后总结归纳得出来的详细版本,大家可以学习学习。kali中集成了volatility,可以下载使用
溯源取证-Linux内存取证 中难度篇
weixin_48421613的博客
04-14 3045
此处场景为linux环境下的rootkit病毒,我们通过这篇文章可以通过内存取证发现rootkit病毒相关的知识,我个人觉得还是挺实用的,比较linux的rootkit病毒在不借助工具的前提下是不太好发现的
linux 内存 取证,使用volatility进行linux内存取证
weixin_39805195的博客
05-07 1545
0前言在对linux进行取证时,通常需要进行内存取证,而volatility是一个很wonderful的工具,它集成了windows版本的profile文件,linux需要自己制作profile文件。1安装dwarfdump这是一款调试信息导出库,具体安装流程为:# git clone https://github.com/tomhughes/libdwarf.git# apt-get insta...
volatility内存取证软件,可用于windows环境下
09-20
The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) ...
内存取证 volatility
07-12
Volatility是一款强大的开源工具,专门用于进行内存取证分析,它可以从Windows、Linux、Mac OS X等多种操作系统中获取内存信息。在本篇文章中,我们将深入探讨Volatility 3.2.4.1版本的功能、工作原理以及如何使用它...
linux 内存取证_Linux内存取证lime+volatility(原创2019年10月10日)
weixin_31502485的博客
01-27 1401
前提环境:linux要有python环境,有git工具,没有的话直接配置apt更新源(具体方法网上搜索),然后使用如下命令安装环境和工具即可:apt-getinstall pythonapt-getinstall git第一步:下载4个工具Linux内存提取工具lime,内存分析工具volatility及相关libelf、libdwarf下载完之后就会在目录下对应生成4个文件夹如下图第二步:提取镜...
内存取证volatility(例题[护网杯]Easy_dump)
苏生要努力
02-27 1103
上面英文翻译结果如下,这是一个维吉尼亚密码,秘钥是aeolus,有了加密方式,有了秘钥,需要密文。在这里发现这个notepad.exe ,想到看记事本里面的内容,寻找线索。6 检查phos.jpg图片,图片无法查看,使用binwalk查看。在2616.dmp里面直接搜flag有关的信息,得到下一个提示是。8 怀疑这些数字是坐标,于是上脚本转换一下试试 ,得到二维码图片。寻找到一个.swp文件,如果熟悉它,知道是中断文件,直接恢复。文件,再次使用binwalk工具提取里面的文件。,即可得到隐藏在里面的。
VMI Honeymon:基于 LibVMI 和 Volatility 的 IDS/Honeypot 监控器-开源
07-17
基于 LibVMI 和 Volatility 的 IDS/Honeypot 监控器
volatility内存取证命令合集
01-10
volatility内存取证命令合集,原版volatility内存取证CheatSheet,赶紧学习一波!
内存取证5-volatility
chinazgzx的博客
04-03 1714
内存取证是一种在计算机系统运行时获取内存数据并进行分析的技术,能获取到很多磁盘中没有的动态信息,对于调查系统异常、检测恶意软件等非常关键。Volatility 是一款开源的内存取证工具,支持 Windows、Linux、Mac OS X、Android 等系统。它通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态,可用于安全事件响应、恶意软件分析等场景。
Linux内存取证之网络信息取证Volatility 取证
NFMSR的博客
08-10 1743
Linux Bash history 分析: 对抗Bash history分析的方法: HISTFILE变量在 ~./bashrc 中 Unsetting the HISTFILE environment variable (命令:unset HISTORY)或者将变量指向 /dev/null 设置 HISTSIZE变量=0 利用SSH 登陆时 加上-T参数 Li...
volatility命令使用 misc部分取证解题(部分内存取证
(●'◡'●)
07-13 4212
Volatility -f<文件名> --profile=<配置文件><插件>[插件参数] 一般思路步骤 列举进程 查找需要的信息 Volatility -f name --profile=Winxpap2x86 pslist 创建文件夹 把需要保存的文件提取 将内存中的某个进程数据以dup的格式保存出来 volatility -f mem.vmem --profile=WinXPSP2x86 -p [PID] -D [dump 出的文件保存的目录] mk..
浅析内存取证
Lemon's blog
10-16 8647
前言: MISC经常遇到取证分析的,而且在实战中系统取证也是非常重要的,利用这段时间学习一下。 什么是活取证 在主机存活时发现系统被入侵,然后直接把机器的运行内存dump下来,对运行内存进行分析,还原一些进程的中的信息。 主要工作便是 抓取文件metadata 创建时间线 命令历史 分析日志文件 哈希摘要 转存内存信息等 什么是死取证 对机器的磁盘做镜像之后进行分析,在关机后制作硬盘镜像,分析镜像(MBR硬盘分区,GPT全局分区表,LVM逻辑卷)是否存在病毒,木马等恶意程序。 不管是那种取证方式
Windows内存取证思路-----volatility
woshicainiao666的博客
12-20 4915
南华城里月如昼,十二玉楼非吾乡
利用Volatility进行Windows内存取证分析():初体验
Fly_鹏程万里
05-16 9971
简介承接上文,上文中使用cuckoo沙箱的时候提到过,分析恶意代码的时候,首先利用沙箱做粗略分析,然后可以目标程序进行动态分析(OD,Windbg调试)或者静态分析(IDA静态反汇编).如果嫌每次逆向麻烦的话,同样可以借助Volatility这类框架来做内存取证分析.Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家合作开发的一套工具, 可以用于windows,...
Linux内存取证工具Volatility 2.6版本发布
在使用之前,用户需要解压这个压缩包,然后他们就可以在支持的Linux系统上运行Volatility工具来进行内存取证分析。 ### 总结 Volatility 2.6版本的独立版为Linux用户提供了一个强大的取证分析工具,允许他们在不...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值