Linux内存取证之网络信息取证(Volatility 取证)

最新推荐文章于 2024-07-15 12:00:51 发布
最新推荐文章于 2024-07-15 12:00:51 发布
阅读量1.6k 收藏 1
点赞数 1
分类专栏: linux 恶意代码取证 文章标签: linux volatility
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/NFMSR/article/details/81563042
版权
本文探讨了Linux内存取证中的网络信息取证,包括Bash历史记录的分析方法,如通过Volatility的Linux_bash、Linux_bash_hash和Linux_bash_env插件检查历史记录和二进制文件。同时,介绍了检查网络连接的Volatility Linux_netstat插件,恢复内核队列数据包的linux_pkt_queue插件,以及调查网络接口、路由缓存和ARP缓存的工具。注意在使用某些插件时可能存在的风险,如-R参数可能导致DNS请求被操纵。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  1. Linux Bash history 分析:
    1. 对抗Bash history分析的方法:
      1. HISTFILE变量在 ~./bashrc 中
      2. Unsetting the HISTFILE environment variable (命令:unset HISTORY)或者将变量指向 /dev/null
      3. 设置 HISTSIZE变量=0
      4. 利用SSH 登陆时 加上-T参数
    2. Linux Bash 分析:
      1. Volatility Linux_bash 插件 ,查看历史记录
      2. Volatility linux_bash_hash 插件,检查可执行二进制文件是否被替换
      3. Volatility linux_bash_env 插件,作用同上
  2. Linux Network
    1. 检查网络连接:Volatility Linux_netstat
    2. 检查内核队列数据包:内核队列数据包会一直发送或者接收通过网络直到服务端或者客户端处理它们,因此当服务端网络拥堵或者客户端尝试上传大文件时,会有潜在的数据存储在队列中,可以用linux_pkt_queue插件进行恢复。
    3. 例子:python vol.py --profile=LinuxDebian-3_2x64 -f debian.lime     linux_pkt_queues -D output
      1. -D 代表生成文件的路径目录
      2. 命令生成的文件命名格式为:The filename is created as <receive or send>.<PID>.<file descriptor number>
      3. 查看上述生成的文件࿱
最低0.47元/天 解锁文章
kali 安装volatility_Linux内存取证工具Volatility使用
weixin_39605521的博客
12-18 1590
#01简介Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。项目地址:https://code.google.com/p/volatility/只介绍简单的使用,详细使用方法可以看CheatSheet。在官方网站包含Linux的相关命令参考:https://code.google.com/p/vol...
linux 内存取证_Linux硬盘和内存镜像取证
weixin_33427476的博客
01-27 1002
Linux硬盘和内存镜像取证在Windows系统上,有winhex等神器,可以方便的完成镜像取证等工作,如何将Linux系统硬盘和内存镜像数据给winhex等进行分析?除了通过dd等工具镜像为文件外,本文将介绍一个方法,将更方便的完成该工作。准备工作一台被镜像取证的电脑运行的Linux系统一台电脑运行的Windows系统两台电脑要能通过网络通信,并且最好是有线千M网络,因为Linux系统的硬盘数据...
linux volatility 命令合集
09-06
linux volatility 内存镜像获取命令大全,亲自实践之后总结归纳得出来的详细版本,大家可以学习学习。kali中集成了volatility,可以下载使用
linux内存管理(16) - volatility
weixin_41028621的博客
03-15 737
1.Linux Memory Extractor   A Loadable Kernel Module (LKM) which allows for volatile memory acquisition from Linux and Linux-based devices, such as Android. This makes LiME unique as it is the first...
linux监控内存的工具,Linux内存取证工具Volatility使用
weixin_36381298的博客
04-30 514
#01简介Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。项目地址:https://code.google.com/p/volatility/只介绍简单的使用,详细使用方法可以看CheatSheet。在官方网站包含Linux的相关命令参考:https://code.google.com/p/vol...
linux 内存 取证,使用volatility进行linux内存取证
weixin_39805195的博客
05-07 1518
0前言在对linux进行取证时,通常需要进行内存取证,而volatility是一个很wonderful的工具,它集成了windows版本的profile文件,linux需要自己制作profile文件。1安装dwarfdump这是一款调试信息导出库,具体安装流程为:# git clone https://github.com/tomhughes/libdwarf.git# apt-get insta...
volatility内存取证软件,可用于windows环境下
09-20
The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) ...
内存取证 volatility
07-12
Volatility是一款强大的开源工具,专门用于进行内存取证分析,它可以从Windows、Linux、Mac OS X等多种操作系统中获取内存信息。在本篇文章中,我们将深入探讨Volatility 3.2.4.1版本的功能、工作原理以及如何使用它...
linux 内存取证_Linux内存取证lime+volatility(原创2019年10月10日)
weixin_31502485的博客
01-27 1369
前提环境:linux要有python环境,有git工具,没有的话直接配置apt更新源(具体方法网上搜索),然后使用如下命令安装环境和工具即可:apt-getinstall pythonapt-getinstall git第一步:下载4个工具Linux内存提取工具lime,内存分析工具volatility及相关libelf、libdwarf下载完之后就会在目录下对应生成4个文件夹如下图第二步:提取镜...
溯源取证-Linux内存取证 中难度篇
weixin_48421613的博客
04-14 2927
此处场景为linux环境下的rootkit病毒,我们通过这篇文章可以通过内存取证发现rootkit病毒相关的知识,我个人觉得还是挺实用的,比较linux的rootkit病毒在不借助工具的前提下是不太好发现的
Volatility内存取证
12-30
在Kali Liunx系统下使用Volatility工具对未知内存镜像进行详细分析取证
浏览器历史记录取证工具
01-26
browsinghistoryview是一个读取Web浏览器(Internet Explorer、Mozilla Firefox、Google chrome和safari)历史数据实用程序,并在一个表中显示所有这些浏览器的网站浏览历史记录。
Volatility3内存取证工具安装及入门在Linux下的安装教程
Geek极安云科-致力于网络安全事业
12-11 6636
Volatility 是一个完全开源的工具,用于从内存 (RAM) 样本中提取数字工件。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证。针对竞赛这块(CTF、技能大赛等)基本上都是用在Misc方向的取证题上面,很多没有听说过或者不会用这款工具的同学在打比赛的时候就很难受。以前很多赛项都是使用vol2.6都可以完成,但是由于操作系统更新,部分系统2.6已经不支持了,如:Win10 等镜像,而Volatility3是支持这些新版本操作系统的。
内存取证volatility工具命令详解
渗透测试研究中心
12-02 2824
一、环境安装 1.kali下安装Volatility2 注意:一般Volatility2比Volatility3好用 wget https://bootstrap.pypa.io/pip/2.7/get-pip.py python2 get-pip.py python2 -m pip install Crypto python2 -m pip install pycryptod...
Kali Linux 数字取证(一)
龙哥盟
07-15 1664
在今天的世界中,新的威胁、违规行为和恶意活动经常在新闻、网站和门户网站上被发现和发布。尽管我们尽力保护我们的数据、系统和网络,但仍然会发生违规行为。为了了解发生了什么,我们转向数字取证领域。尽管数字取证仍然是一个相对较新的领域,但在考虑到任何访问互联网并意图进行恶意活动的人可以获得的大量信息时,取证已经变得和安全一样重要。值得庆幸的是,数字指纹和工件有时会留下痕迹,无论是在已删除或隐藏的文件、电子邮件、某人的浏览历史、远程连接列表,甚至是移动短信中。
Kali Linux 数字取证(二)
最新发布
龙哥盟
07-15 901
原文:annas-archive.org/md5/8FE31A420313B3F8EBAD75F795E950BF。
内存取证-volatility工具的使用 (史上更全教程,更全命令
热门推荐
路baby的博客
10-20 9万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
Ubuntu 17.04下安装64位谷歌Chrome浏览器
NFMSR的博客
10-25 9349
1.进入 Ubuntu 16.04 桌面,按下 Ctrl + Alt + t 键盘组合键,启动终端。 也可以按下 Win 键(或叫 Super 键),在 Dash 的搜索框中输入 terminal 或“终端”字样,Dash 即返回终端的结果,回车即可启动。   2.在终端中,输入以下命令: sudo wget http://www.linuxidc.com/files/repo/googl
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值