LiME + volatility2.4进行内存读取

最新推荐文章于 2025-06-08 13:49:36 发布
最新推荐文章于 2025-06-08 13:49:36 发布
阅读量2.8k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 操作系统 文章标签: 内存
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/terminatorsong/article/details/76473546
本文介绍如何使用Volatility 2.4进行内存内容分析,包括安装配置过程、生成系统profile的方法以及具体分析命令的使用。同时介绍了LiME工具用于创建内存dump文件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

volatility_2.4

是一个内存dump内容查看工具。下载地址

安装

需要python2.6,直接在代码目录下

./configure
make && make install

即可。然后执行

python vol.py --info

查看输出。可能会提示找不到Crypto.Hash和libstorm3,找到对应的python模块,

python setup.py install

即可。

需要一个dump内存的工具,网上找了有LiME,下载地址

编译安装需要内核头文件,安装在/usr/src/kernels目录里。

sudo yum install kernel-devel

如果安装的目录名(显示为kernel版本)与 uname -r 不一样,说明系统需要升级了,需要sudo yum upgrade一下。

LiME只能dump整个内存。没办法,凑合用吧。

insmod ./lime_xxxx.ko "path=fullmem.lime format=lime"

结束后会在目录下生成一个与内存大小一样的fullmem.lime文件。

system profile

要分析内存内容,需要指定内存所在系统的格式,需要生成配置文件。在volatility有一些配置文件,但是不一定好用,需要准备生成profile文件的工具。

cd tools/linux
make

make的时候需要依赖dwarfdump,点此下载;安装dwarfdump需要安装libelf,点此下载。编译安装完成后,有可能会报libelf.so.0找不到,但是在/usr/lib/local/目录下这个文件是有的。只要做一个软链,链到/usr/lib64/libelf.so.0就可以了。

然后需要打包生成配置文件:

zip volatility/volatility/plugins/overlays/linux/CentOS65.zip volatility/tools/linux/module.dwarf /boot/System.map-3.2.0-23-generic

后面的参数根据系统实际版本修改,执行完成后,会在对应的位置生成zip文件。
此时再执行

python vol.py --plugins=profiles --info | grep Linux

就可以看到有可用的profile列出来。

开始分析

python vol.py --profile=LinuxCentOS65x64 -f /path/fullmem.lime command
LiMEVolatility的编译和使用 (MD)
BreakingPoint
08-09 2442
1 下载内核源代码与LiME工具(1)设备信息 型号:Samsung Galaxy S5 Android版本:6.0.1 基带版本:G9006VZNU1CPJ2 内核版本:3.4.0 (2)使用Git命令下载LiME工具源代码:https://github.com/504ensicsLabs/LiME(3)下载设备对应内核源代码网站地址(Samsung): http://opensource.sa
CTF之misc-内存分析(Volatility
热门推荐
Battery的博客
05-04 14万+
Volatility 简介: Volatility是一款开源的,基于Python开发的内存取证工具集,可以分析内存 中的各种数据。Volatility支持对32位或64位Wnidows、Linux、Mac、 Android操作系统的RAM数据进行提取与分析。(高等级版本kali现需要自己下载Volatility,依赖于python环境安装)volatility 使用: 开始准备: volatility -f <文件名>–profile= <配置文件><插件>[插件.
【亲测免费】 推荐文章:深入探索LiME - 深度提取Linux与Android内存的神器
gitblog_00650的博客
08-09 896
推荐文章:深入探索LiME - 深度提取Linux与Android内存的神器 项目简介 在数字取证和系统深度分析领域,记忆提取是一项至关重要的技能。LiME(Linux Memory Extractor)正是这样一款强大的工具,它以Loadable Kernel Module(LKM)的形式存在,为Linux及其衍生系统如Android设备提供了高效、直接的内存捕获能力。这一创新之作由Joe S...
Linux内存镜像工具LiME使用详解
最新发布
weixin_35578748的博客
06-08 854
LiME(Linux Memory Extractor)是一种开源工具,专门设计用于从Linux系统中捕获物理内存的镜像。它的工作原理基于Linux内核模块,允许用户将内核直接转换成数据采集工具。由于它是由Linux内核直接捕获数据,因此可以避免使用其他内存捕获工具时常见的兼容性和性能问题。LiME由Dong Wang在2012年首次发布,目的是为了解决在取证分析中常见的内存捕获不完全或数据污染问题。
LiME:LiME(以前称为DMD)是一个可加载内核模块(LKM),它允许从Linux和基于Linux的设备(例如由Android驱动的设备)中获取易失性内存。 该工具支持获取设备文件系统或网络上的内存LiME的独特之处在于它是第一个允许从Android设备捕获全部内存的工具。 它还最大程度地减少了在获取过程中用户空间与内核空间过程之间的交互,从而使其产生的内存捕获比为Linux内存捕获而设计的其他工具更具有鉴识力。
05-04
LiME〜Linux内存提取器 可加载内核模块(LKM),允许从Linux和基于Linux的设备(例如Android)中获取易失性内存。 这使LiME独树一帜,因为它是第一个允许在Android设备上捕获全部内存的工具。 它还最大程度地减少了在获取过程中用户空间与内核空间过程之间的交互,从而使其产生的内存捕获比为Linux内存捕获而设计的其他工具在法医上更为合理。 目录 特征 LiME利用insmod命令加载模块,并传递执行所需的参数。 insmod ./lime.ko "path=<outfile>> format=<raw> [digest=<digest>] [dio=<0>]" path (required): outfile ~ name of file to write to on local system (SD
内存取证-volattlity
5L2g556F5ZWl77yf
09-30 6769
Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。 项目地址: https://code.google.com/archive/p/volatility/ 安装: kali-bt5自带此工具 $ apt-get install subversion-tools $ svn checkout http://volatility.googlecode.com/svn/trunk/ /usr/local/src/v
内存取证——volatility学习
m0_75236662的博客
05-27 2608
在做计算机最后两道题目碰到了MP3格式的镜像,分析发现是计算机内存,要进行内存取证。现在内存取证在ctf比赛中也是常见的题目,内存取证是指在计算机系统的内存中进行取证分析,以获取有关计算机系统当前状态的信息。内存取证通常用于分析计算机系统上运行的进程、网络连接、文件、注册表等信息,并可以用于检测和分析恶意软件、网络攻击和其他安全事件通过盘古石比赛了解了内存取证类型的题目,在看别人题解的时候发现volatility为主流分析工具,安装后大致了解了操作流程和功能点。
Windows内存取证思路-----volatility
woshicainiao666的博客
12-20 4879
南华城里月如昼,十二玉楼非吾乡
内存取证-volatility工具的使用 (史上更全教程,更全命令)
路baby的博客
10-20 10万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
Volatility2.6内存取证工具安装及入门
Geek极安云科-致力于网络安全事业
05-11 1万+
Volatility 是一个完全开源的工具,用于从内存 (RAM) 样本中提取数字工件。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证。那么针对竞赛这块(CTF、技能大赛等)基本上都是用在Misc方向的取证题上面,很多没有听说过或者不会用这款工具的同学在打比赛的时候就很难受。当然,这款工具在安装的时候也是非常难受,一大堆报错会让你很崩溃,但是你搞定这些事后对你的取证赛题将会突飞猛进!后续我也会更新解决各种疑难杂症报错的解决方案给大家。
volatility内存取证命令合集
01-10
volatility内存取证命令合集,原版volatility内存取证CheatSheet,赶紧学习一波!
volatility内存取证软件,可用于windows环境下
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) samples. The extraction techniques are performed completely independent of the sys
探索LiME:一款强大的内存取证工具
gitblog_00039的博客
03-25 976
探索LiME:一款强大的内存取证工具 LiME项目地址:https://gitcode.com/gh_mirrors/lime1/LiME 是一个轻量级且开源的内存取证工具,它允许安全研究人员和法医专家在Linux环境中提取、分析并存储系统的内存快照。通过深入理解LiME的工作原理和技术特性,我们可以更好地利用这一工具进行复杂的恶意软件调查和安全事件响应。 项目简介 LiME(逻辑内存提取器)的...
内存取证 volatility工具的使用
qq_56025677的博客
02-23 915
内存取证工具使用教程
linux 内存取证_Linux内存取证lime+volatility(原创2019年10月10日)
weixin_29487179的博客
01-17 939
前提环境:linux要有python环境,有git工具,没有的话直接配置apt更新源(具体方法网上搜索),然后使用如下命令安装环境和工具即可:apt-getinstall pythonapt-getinstall git第一步:下载4个工具Linux内存提取工具lime内存分析工具volatility及相关libelf、libdwarf下载完之后就会在目录下对应生成4个文件夹如下图第二步:提取镜...
制作Linux内存镜像+制作对应的volatility profile
ShenZ的博客
12-13 6108
制作Linux内存镜像+制作对应的volatility profile 文章目录制作Linux内存镜像+制作对应的volatility profile制作Linux内存镜像lmg安装制作volatility profile1.创建vtypes2.获取符号表3.制作用户配置文件使用profilevolatility取证Linux命令 制作Linux内存镜像 工具有很多,我这里用lmg 理论上lmg可以把linux内存文件(memory.lime),volatility profile一次性全整出来,但是我不知
反编译linux内核 kmem,Volatility学习笔记一:使用手册
weixin_33110431的博客
05-03 407
0x00 概述Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。特点:开源:Python编写,易于和基于python的主机防御框架集成。支持多平台:Windows,Mac,Linux全支持易于扩展:通过插件来扩展Volatility的分析能力0x01 安装安装分为三步走:下载安装必要的python依赖文件安...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

LeetJoe

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值