Linux 内存取证之文件系统取证(Volatility取证)

最新推荐文章于 2025-06-12 09:10:32 发布
最新推荐文章于 2025-06-12 09:10:32 发布
阅读量3.2k 收藏 2
点赞数 2
CC 4.0 BY-SA版权
分类专栏: linux 恶意代码取证 文章标签: Linux volatility
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/NFMSR/article/details/81563127
本文详细介绍了Linux内存取证中对文件系统的分析,包括常见文件系统类型如ext3/4、sysfs和proc,以及tmpfs在安全中的角色。讨论了mount指令的参数意义,如atime、noexec和suid等,并强调了tmpfs在黑客活动中的利用。通过Volatility工具,演示了如何列举内存中的文件、恢复文件元数据和建立时间线,以辅助进行有效的取证分析。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  1. File Systems
    1. 知识点
      1. USB 通常挂载到 /mdia/external/文件夹下。/media是根目录文件
      2. Mount 指令查看挂载情况,在内存分析中使用volatility linux_mount 插件
        1. ext3/4,Linux系统中最常见的文件系统格式
        2. sysfs,一个伪文件系统,通常挂载在/sys/文件夹下,保存一些硬件连接系统的信息。
        3. proc,一个伪文件系统,通常挂载在/proc/文件夹下,保存一些运行的进程,激活的网络连接,内核加载模块,也包含一些内存管理的配置。
        4. tmpfs,一个只存在内存里的文件系统,通常使用在/tmp和/dev/shm文件夹下。
        5. devpts,一个为了伪终端存在的挂载点,一个伪文件系统,通过SSH远程连接和命令行模式时会产生伪终端。
        6. devtmpfs,一个伪文件系统,在/dev/文件夹下用来管理文件和目录
        7. cifs,用来挂载远程SMB的共享,当一个Linux系统想要去挂载远程Windows’系统的文件共享时或者NAS服务启动时可以看到。
      3. Mount指令显示结果中个参数含义
        1. Atime/noatime:决定是否文件的访问时间可以更新,如果访问时间没有被设置,将很大的影响你决定哪个那个文件攻击者访问过。
        2. Diratime/nodiratime,决定是否文件夹的访问时间可以更新
        3. Relatime/norelatime,更新访问时间仅当访问时间比最后一个修改时间还要早时,在内核版本2.6.3*之后,当访问时间早于24小时之后,任何情况下都会进行更新。
        4. Dev/nodev ,决定挂载点下的文件能否加载设备,在一些严格的设备中,比如沙箱中,这个选项通常用来防止特权升级。
最低0.47元/天 解锁文章

200万优质内容无限畅学
Linux 内存取证 之进程空间取证Volatility取证
NFMSR的博客
08-10 3107
进程分析目标: 识别出进程和他们的父进程或者子进程(恶意进程的启动进程和别的不一样)pstree 区分内核中的进程(恶意进程通常作为内核进程来运行) grep UID /etc/{passwd,group} 将进程和用户或者组联系起来 进程地址空间分析目标: 学会怎样从一个内存dump中提取出进程的堆,栈,可执行代码的区域 Cat /proc/<pid>/maps...
linux 内存 取证,使用volatility进行linux内存取证
weixin_39805195的博客
05-07 1545
0前言在对linux进行取证时,通常需要进行内存取证,而volatility是一个很wonderful的工具,它集成了windows版本的profile文件,linux需要自己制作profile文件。1安装dwarfdump这是一款调试信息导出库,具体安装流程为:# git clone https://github.com/tomhughes/libdwarf.git# apt-get insta...
Volatility3 Linux内存取证入门教程
最新发布
gitblog_00726的博客
06-12 346
Volatility3 Linux内存取证入门教程 概述 Volatility3是一款功能强大的内存取证分析工具,专门用于从内存转储中提取数字证据。本教程将重点介绍如何在Linux环境下使用Volatility3进行内存取证分析,包括获取内存转储、创建符号表以及使用各种插件进行取证分析。 内存获取方法 Volatility3本身不提供内存获取功能,需要借助第三方工具来获取Linux系统的内存转储。...
取证——内存取证
m0_73756016的博客
04-12 2664
内存取证是指在计算机或其他数字设备运行时,通过对其随时存储的内存数据进行采集、分析和提取,以获取有关设备状态、操作过程和可能存在的安全事件的信息。内存取证是数字取证的一个重要分支,用于从计算机的RAM(随机存取存储器)或其他设备的内存中提取关键信息,以便了解设备在特定时间点的状态和活动。
数字取证工作站搭建:The Sleuth Kit(TSK)Kali Linux搭建
qq_63723703的博客
07-12 996
讲述搭建Kali Linux,从而使用TSK,附有测试方法
内存取证工具
09-30
使用文档+DumpIt+volatity 使用DumpIt获取物理内存,生成物理内存镜像文件,使用volatity对物理内存镜像文件进行分析
linux 内存取证_Linux内存取证lime+volatility(原创2019年10月10日)
weixin_31502485的博客
01-27 1398
前提环境:linux要有python环境,有git工具,没有的话直接配置apt更新源(具体方法网上搜索),然后使用如下命令安装环境和工具即可:apt-getinstall pythonapt-getinstall git第一步:下载4个工具Linux内存提取工具lime,内存分析工具volatility及相关libelf、libdwarf下载完之后就会在目录下对应生成4个文件夹如下图第二步:提取镜...
volatility内存取证软件,可用于windows环境下
09-20
The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) ...
内存取证 volatility
07-12
Volatility是一款强大的开源工具,专门用于进行内存取证分析,它可以从Windows、Linux、Mac OS X等多种操作系统中获取内存信息。在本篇文章中,我们将深入探讨Volatility 3.2.4.1版本的功能、工作原理以及如何使用它...
linux内存镜像取证,Linux内存取证工具Volatility的使用
weixin_42361070的博客
05-03 915
#01简介 Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。 项目地址: https://code.google.com/p/volatility/ 只介绍简单的使用,详细使用方法可以看CheatSheet。在官方网站包含Linux的#01简介Volatility是开源的Windows,Linux...
volatiliy--内存取证大杀器
Yale的博客
05-26 5872
Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。 打开volatility 启动后看到的suopported flugin command都是volatility可用的插件 左边是插件的命令右边是插件的效果 所有的操作系统都将信息存储在RAM,然后不同的操作系统可能存储在不同的路径下,在vol...
volatility内存取证命令合集
01-10
volatility内存取证命令合集,原版volatility内存取证CheatSheet,赶紧学习一波!
探索LiME:一款强大的内存取证工具
gitblog_00039的博客
03-25 983
探索LiME:一款强大的内存取证工具 LiME项目地址:https://gitcode.com/gh_mirrors/lime1/LiME 是一个轻量级且开源的内存取证工具,它允许安全研究人员和法医专家在Linux环境中提取、分析并存储系统的内存快照。通过深入理解LiME的工作原理和技术特性,我们可以更好地利用这一工具进行复杂的恶意软件调查和安全事件响应。 项目简介 LiME(逻辑内存提取器)的...
中职网络安全:内存取证技术与应用
weixin_30632267的博客
10-09 1047
本文还有配套的精品资源,点击获取 简介:中科磐云的内存取证压缩包文件为2021年中等职业教育网络安全科目的考核材料。内存取证是网络安全事件调查的重要部分,用于从内存中提取关键信息,如恶意软件、系统状态和用户活动。它与硬盘取证不同,要求迅速执行,以防止数据丢失。压缩包中包含原始内存转储文件和内存取证任务指导文件,旨在教授学生内存结构、取证工具使用、内存分析技巧、恶意软件分析和...
CentOS基于volatility2的内存取证实验
toto的博客
02-05 1761
CentOS,Redhat和Fedora 都是Red Hat体系,采用yum管理器,不同于Debian、Ubuntu作为Debian体系使用apt 本文以CentOS为例,采用avml制作内存镜像,并利用volatility官方所给工具制作profile符号文件,进行简单的内存取证实验
内存取证-volattlity
5L2g556F5ZWl77yf
09-30 6775
Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。 项目地址: https://code.google.com/archive/p/volatility/ 安装: kali-bt5自带此工具 $ apt-get install subversion-tools $ svn checkout http://volatility.googlecode.com/svn/trunk/ /usr/local/src/v
Linux取证之恢复已删除的二进制文件
weixin_55821558的博客
08-16 781
在彻底调查发生的情况之前,永远不要简单地杀死发现的可疑进程。如果要先终止该进程,则会丢失二进制文件,因为它会被文件系统释放并可能被破坏。如果系统感染了某些东西,请在网络上将其隔离,不要惊慌,花点时间,收集证据,然后在弄清楚发生了什么以及攻击是如何发生的(根本原因分析)之后重建系统。...
linux系统取证基础
ntrybw的博客
09-13 475
cat /etc/udev/rules.d/70-persistent-net.rules 查看网卡基本信息。可以根据参数排序:输入c,显示完整路径,输入p,cpu占有率排序可以就此查看恶意程序、自己做一定要修改密码,我感觉绕过密码后登录有问题,一定要改密码重启,机器会显示完全。如果还是错误,一般是因为制作镜像的时候网卡存在冲突导致的,就要看一下网卡内部信息。下面就是centos6的密码绕过,百度随便搜,很多,基本上都可以。cd /etc/passwd 查看用户信息,展示了信息存在位置。
Linux内存取证工具Volatility 2.6版本发布
在使用之前,用户需要解压这个压缩包,然后他们就可以在支持的Linux系统上运行Volatility工具来进行内存取证分析。 ### 总结 Volatility 2.6版本的独立版为Linux用户提供了一个强大的取证分析工具,允许他们在不...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值