LiME + volatility2.4进行内存读取

本文介绍如何使用Volatility 2.4进行内存内容分析,包括安装配置过程、生成系统profile的方法以及具体分析命令的使用。同时介绍了LiME工具用于创建内存dump文件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

volatility_2.4

是一个内存dump内容查看工具。下载地址

安装

需要python2.6,直接在代码目录下

./configure
make && make install

即可。然后执行

python vol.py --info

查看输出。可能会提示找不到Crypto.Hash和libstorm3,找到对应的python模块,

python setup.py install

即可。

需要一个dump内存的工具,网上找了有LiME,下载地址

编译安装需要内核头文件,安装在/usr/src/kernels目录里。

sudo yum install kernel-devel

如果安装的目录名(显示为kernel版本)与 uname -r 不一样,说明系统需要升级了,需要sudo yum upgrade一下。

LiME只能dump整个内存。没办法,凑合用吧。

insmod ./lime_xxxx.ko "path=fullmem.lime format=lime"

结束后会在目录下生成一个与内存大小一样的fullmem.lime文件。

system profile

要分析内存内容,需要指定内存所在系统的格式,需要生成配置文件。在volatility有一些配置文件,但是不一定好用,需要准备生成profile文件的工具。

cd tools/linux
make

make的时候需要依赖dwarfdump,点此下载;安装dwarfdump需要安装libelf,点此下载。编译安装完成后,有可能会报libelf.so.0找不到,但是在/usr/lib/local/目录下这个文件是有的。只要做一个软链,链到/usr/lib64/libelf.so.0就可以了。

然后需要打包生成配置文件:

zip volatility/volatility/plugins/overlays/linux/CentOS65.zip volatility/tools/linux/module.dwarf /boot/System.map-3.2.0-23-generic

后面的参数根据系统实际版本修改,执行完成后,会在对应的位置生成zip文件。
此时再执行

python vol.py --plugins=profiles --info | grep Linux

就可以看到有可用的profile列出来。

开始分析

python vol.py --profile=LinuxCentOS65x64 -f /path/fullmem.lime command
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

LeetJoe

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值