制作Linux内存镜像+制作对应的volatility profile

最新推荐文章于 2023-05-14 12:58:23 发布
最新推荐文章于 2023-05-14 12:58:23 发布
阅读量6k 收藏 17
点赞数 9
分类专栏: # 内存取证 取证 文章标签: linux bash
不允许转载
本文链接:https://blog.youkuaiyun.com/weixin_46081055/article/details/121897319
版权
本文介绍了如何使用lmg工具创建Linux内存镜像,并详细阐述了制作Volatility分析配置文件的过程,包括创建vtypes、获取符号表和制作用户配置文件。虽然在制作profile.zip时遇到问题,但提供了相关工具和资源链接供进一步参考。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

制作Linux内存镜像+制作对应的volatility profile

文章目录

制作Linux内存镜像

工具有很多,我这里用lmg
理论上lmg可以把linux内存文件(memory.lime),volatility profile一次性全整出来,但是我不知道为什么报错了
只打内存镜像用LIME就可以了
在这里插入图片描述

lmg安装

Lmg:https://github.com/halpomeranz/lmg  脚本主程序
avml:https://github.com/microsoft/avml/releases/tag/v0.3.0(可直接下载二进制文件) Linux的便携式内存采集工具
LiME:https://github.com/504ensicsLabs/LiME

1.在lmg里面建一个新的文件夹imgg,将需要的文件放进去
在这里插入图片描述 在这里插入图片描述
2.修改avml二进制文件名

mv avml avml-$(uname -m)
mv avml-convert avml-convert-$(uname -m)

添加执行权限

chmod +x avml-convert-x86_64

3.进入到LiME/src目录

patch < ../../../../lmg/lime-Makefile.patch

需要先安装patch

apt-get install patch

在这里插入图片描述4.使用lmg
安装完成,可以使用二进制文件lmg来转储Linux系统内存

./lmg -y

保存路径在当前目录下capture文件下
在这里插入图片描述
我profile.zip没做出来

Whatever directory name is used, the directory will contain:

   <hostname>-YYYY-MM-DD_hh.mm.ss-memory.lime  -- the RAM capture
   <hostname>-YYYY-MM-DD_hh.mm.ss-profile.zip  -- Volatility(TM) profile
   <hostname>-YYYY-MM-DD_hh.mm.ss-bash         -- copy of target's /bin/bash
   volatilityrc                                -- prototype Volatility config file

制作volatility profile

首先要安装dwarfdump(调试文件导出工具)&GCC/Make()&KernelHeaders(待分析系统的内核头文件)

sudo apt-get install dwarfdump 
sudo apt-get install build-essential

在这里插入图片描述
KernelHeaders可以根据uname -r得到内核版本,不过这个我没有安装

linux-header-`uname -r`

1.创建vtypes

vtypes是内核数据结构,为创建该数据结构,我们需要检查我们的源码并针对我们要分析的系统内核编译module.c文件,这将会为我们生成一个名为module.dwarf文件,该文件包含了我们所需的内核调试信息。

cd volatility/tools/linux
make

在这里插入图片描述

2.获取符号表

一般我们可以在/boot目录下找到该System.map文件。该文件包含系统的符号信息。
在这里插入图片描述

3.制作用户配置文件

将moudle.dwarf以及system.map文件打包成一个zip文件,放在volatility/plugins/overlays/linux下。

sudo zip ./volatility/plugins/overlays/linux/Ubuntu.zip ./tools/linux/module.dwarf /boot/System.map-`uname -r`

在这里插入图片描述

使用profile

放在volatility/plugins/overlays/linux下之后查看info

root@volatility-master# python vol.py --info|grep Linux
Volatility Foundation Volatility Framework 2.6.1
LinuxUbuntux64    - A Profile for Linux
最低0.47元/天 解锁文章
kali环境运行volatility分析android内存文件,缺profile,如何解决??
**My Coding Family**
05-21 982
ok,以上就是我这期的Bug修复内容啦,如果还想查找更多解决方案,你可以看看我专门收集Bug及提供解决方案的专栏「Bug调优」,都是实战中碰到的Bug,希望对你有所帮助。到此,咱们下期拜拜。码字不易,如果这篇文章对你有所帮助,帮忙给bugj菌来个,您的支持就是我坚持写作分享知识点传播技术的最大动力。「猿圈奇妙屋」;
linux 内存 取证,使用volatility进行linux内存取证
weixin_39805195的博客
05-07 1531
0前言在对linux进行取证时,通常需要进行内存取证,而volatility是一个很wonderful的工具,它集成了windows版本的profile文件,linux需要自己制作profile文件。1安装dwarfdump这是一款调试信息导出库,具体安装流程为:# git clone https://github.com/tomhughes/libdwarf.git# apt-get insta...
linux内存镜像取证,Linux下内存取证工具Volatility的使用
weixin_42361070的博客
05-03 899
#01简介 Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。 项目地址: https://code.google.com/p/volatility/ 只介绍简单的使用,详细使用方法可以看CheatSheet。在官方网站包含Linux的#01简介Volatility是开源的Windows,Linux...
那年,一步一步学linux c ---内存映像~~那些事~~
yuanjinxiu
03-03 382
转载请注明出处:http://blog.youkuaiyun.com/muge0913/article/details/7315197 内存映像其实就是在内存中创建一个和外存文件完全相同的映像。用户可以将整个文件映射到内存中也可以部分映射到内存。系统会将对内存映像的改动如实的反映到外存文件中。从而实现了通过内存映像对外存文件的操作。 内存映像的特点: 1、 可以加快对IO的操作速度。 2、 用...
linux 镜像_Linux硬盘和内存镜像取证
weixin_39785400的博客
11-28 450
Linux硬盘和内存镜像取证 在Windows系统上,有winhex等神器,可以方便的完成镜像取证等工作,如何将Linux系统硬盘和内存镜像数据给winhex等进行分析?除了通过dd等工具镜像为文件外,本文将介绍一个方法,将更方便的完成该工作。 准备工作一台被镜像取证的电脑运行的Linux系统一台电脑运行的Windows系统两台电脑要能通过网络通信,并且最好是有线千M网络,因为Linux系统的硬盘...
linux 内存镜像提取命令,内存镜像获取工具推荐
weixin_36147027的博客
05-08 2870
Windows系统:moonsols,官方网站:http://www.moonsols.com/,有免费版和收费版,支持获取内存镜像,文件转换等功能,目前支持到Windows10。moonsols可以处理休眠文件(Hiberfil.sys),crashdump文件和raw memory dump文件,crashdump可以被winDBG加载进行分析,所以最终要转化为crashdump文件。1、获...
【FTK Imager篇】FTK Imager制作内存镜像
蘇小沐的电子数据取证博客
11-30 8041
【FTK Imager篇】FTK Imager制作内存镜像 ​ FTK Imager制作内存镜像—【suy】 文章目录【FTK Imager篇】FTK Imager制作内存镜像捕获内存镜像(一)菜单栏:文件->捕获内存镜像(二)工具栏:捕获内存镜像图标(三)内存镜像完成镜像文件与页信息文件 捕获内存镜像 可以从菜单栏或工具栏点击内存捕获按钮制作内存镜像。 (一)菜单栏:文件->捕获内存镜像 (二)工具栏:捕获内存镜像图标 填写镜像存储路径、镜像名;以及可选项:包括页信息、创建AD1文件
linux 内存取证_Linux内存取证lime+volatility(原创2019年10月10日)
weixin_31502485的博客
01-27 1386
前提环境:linux要有python环境,有git工具,没有的话直接配置apt更新源(具体方法网上搜索),然后使用如下命令安装环境和工具即可:apt-getinstall pythonapt-getinstall git第一步:下载4个工具Linux内存提取工具lime,内存分析工具volatility及相关libelf、libdwarf下载完之后就会在目录下对应生成4个文件夹如下图第二步:提取镜...
linux内存镜像取证,W3bSafe-记一次Linux镜像取证
weixin_35224065的博客
05-03 525
查看题目要求下载这三个镜像并将victoria-v8.sda1.img挂载到/mnt目录下sudo mount -o loop victoria-v8.sda1.img /mnt在/mnt目录下可以看见首先查看系统版本cat etc/issue在var/log目录下查看Linux的版本然后制作版本对应profile,可自己手动制作,也可以使用github上制作好的Github项目:https:/...
【C语言】Linux 下C程序的内存镜像
xiaoyu_wu的博客
12-17 1186
一. Linux C 的内存段分类有哪几种 1. 栈(stack):函数调用栈,非静态局部变量。 2. 堆(heap):用户用时自己申请 ,用完自己释放。 3. 文件映射区:文件映射区就是进程打开了文件后,将这个文件的内容从硬盘读到进程的文件映射区,以后直接在内存中操作这个文件,读写完了后在保存时再将内存中的文件写到硬盘中去 4. 数据段(.data):(data segment)通常是指用来存放程序中已初始化的全局变量的一块内存区域。数据段属于静态内存分配。 (1)显式初始化为非0的全局变量
linux内存镜像技术,GitHub - oscomp/proj61-linux-address-range-memory-mirroring: Linux 内核内存镜像功能增强。...
weixin_32824725的博客
05-08 505
proj61-linux-address-range-memory-mirroring项目描述高端的 X86 和 ARM 服务器芯片支持局部内存镜像技术(Address Range Memory Mirroring),允许配置部分内存做成镜像,这部分内存区域对OS来说,可靠性更强。如果让关键数据或程序使用这部分内存,则可以提升系统的整体可靠性。比如:让内核跑在镜像内存区域,防止因内存硬件出现多 b...
linux制作内存镜像,基于Linux源代码及Busybox源代码制作精简可启动内核镜像技术实验方法...
weixin_35719402的博客
05-03 648
基于Linux源代码及Busybox源代码制作精简可启动内核镜像技术实验方法总结熊海泉内核源代码下载地址这里下载的是linux-2.6.38.tar.bz源代码下载地址这里下载的是busybox-1.18.4.tar.bz2工具下载地址这里可以在Fedora 13中直接用下面的命令行安装:#yum install unetbootin内核镜像及内存虚拟盘根文件系统 内核镜像文件bzImage的编译...
linux制作成内存系统,超级DIY:制作运行在内存中的Linux系统
weixin_29457191的博客
04-30 462
一般情况下,linux系统启动过程是,写在MBR上的bootloader加载内核,然后加载初启环境,即initrd;在initrd中,一般有个叫init或linuxrc的脚本(或ELF文件),该进程启动后,会先读取/etc/inittab下的内容,这是一个初始化表,用以确定执行/etc/rc.d下的哪个RC脚本,RC脚本执行完毕后,文件系统基本上就得到所有的硬件信息了,进而加载真正的根分区。现在要...
Linux 内存管理 (1): 内核镜像映射临时页表的建立
JiMoKuangXiangQu的专栏
05-14 1166
linux, 内存管理
linux 内存映像,一种Linux系统物理内存镜像文件分析方法
weixin_39978101的博客
04-30 316
一种Linux系统物理内存镜像文件分析方法【技术领域:】[0001]本发明涉及一种Linux系统物理内存镜像文件分析方法,更具体的说,尤其涉及一种无需获知操作系统的版本信息即可从物理内存镜像中恢复出内核变量符号表的Linux系统物理内存镜像文件分析方法。【背景技术:】[0002]美国空军特别调查办公室的Kornblum于2002年在DFRWS(DigitalForensicResearchWork...
linux进程内存映像,实战演练必修课|进程内存Dump与内存镜像Dump常用工具
weixin_32570803的博客
04-29 1641
原标题:实战演练必修课|进程内存Dump与内存镜像Dump常用工具「中睿大学」是中睿天下建设的网络攻防学习、交流与分享平台。聚焦「实战对抗」,基于中睿天下多年一线攻防实战经验,分享行业知识及优秀实践,帮助合作伙伴及用户等提升网络安全监测预警、分析研判、态势感知、攻击溯源以及应急处置等攻防能力。这次,我们走进「中睿大学」系列课程之“内存取证第一步——进程内存Dump与内存镜像Dump”。#内存转储#...
超级DIY:制作运行在内存中的Linux系统
weixin_34248487的博客
08-13 865
一般情况下,linux系统启 动过程是,写在MBR上的bootloader加载内核,然后加载初启环境,即initrd;在initrd中,一般有个叫init或linuxrc的脚 本(或ELF文件),该进程启动后,会先读取/etc/inittab下的内容,这是一个初始化表,用以确定执行/etc/rc.d下的哪个RC脚 本,RC脚本执行完毕后,文件系统基本上就得到所有的硬件信息了,进而加载真正的根...
Linux镜像工具大全
Connor_xie的博客
07-23 2936
1、Linux官方镜像 Deepin镜像 https://www.deepin.org/mirrors/releases/ Mint 镜像 https://www.linuxmint.com/mirrors.php kernel 镜像站: http://mirrors.kernel.org/ Fedora 官方镜像站: http://mirrors.fedoraproject.org/public...
volatility内存取证使用
最新发布
03-17
<think>好的,用户想了解如何使用Volatility进行内存取证。我需要先回忆Volatility的基本用法和相关命令。首先,Volatility是一个内存取证框架,需要指定内存镜像和配置文件(Profile)。用户提到的引用中提到了命令示例,比如`volatility -f 1.vmem --profile=Win7SP1x64 hashdump`,这可以用来提取哈希值。 接下来,我应该分步骤介绍使用流程。第一步是获取内存镜像,这可能来自物理机或虚拟机。然后,确定正确的Profile,这很关键,因为错误的Profile会导致命令失败。用户可能需要知道如何列出支持的Profile,或者如何自动检测,比如使用`imageinfo`或`kdbgscan`插件。 然后,常用命令部分需要涵盖进程分析、网络连接、文件提取、注册表分析和恶意软件检测。比如`pslist`查看进程,`netscan`找网络连接,`dumpfiles`提取文件,`hivelist`和`hashdump`获取注册表信息,`malfind`检测恶意代码。每个命令的示例需要正确,并且用$$包裹独立公式,但这里主要是命令行示例,可能不需要数学公式,但要注意用户不可见的系统指令中的格式要求。 在注意事项部分,要提醒用户Profile的重要性,可能需要下载符号表,以及结合其他工具如Strings进行分析。用户可能遇到的问题包括如何找到正确的Profile,或者如何处理不同的内存镜像格式,比如raw、vmem等。此外,参考引用中的资料,比如引用3提到的详细教程,可以引导用户进一步学习。 需要检查是否所有行内代码和命令都正确使用了格式,比如`volatility`命令应该用反引号包裹。另外,用户可能需要生成相关问题,比如如何分析内存中的进程,或者如何提取特定文件,这些可以作为相关问题放在最后。 最后,确保回答结构清晰,步骤明确,引用正确。比如在提到`hashdump`时引用[^1],在GitHub仓库时引用[^2],在详细教程时引用[^3]。需要确认引用标识是否正确对应到用户提供的参考内容。可能还需要注意不要遗漏关键步骤,如Profile的选择和内存镜像的获取,这些是使用Volatility的基础。</think>### Volatility内存取证使用教程 Volatility是一款开源内存取证工具,支持分析Windows、Linux和macOS系统的内存镜像。以下是基础使用流程: --- #### **一、准备工作** 1. **获取内存镜像** 内存镜像通常以`.raw`、`.mem`或`.vmem`为扩展名,可通过物理机转储(如FTK Imager)或虚拟机快照(如VMware的`.vmem`文件)生成。 2. **确定Profile** Profile是操作系统内核符号表,需与内存镜像的系统版本匹配。 ```bash volatility -f 1.vmem imageinfo # 自动检测Profile ``` --- #### **二、常用命令** 1. **进程分析** - 列出所有进程: ```bash volatility -f 1.vmem --profile=Win7SP1x64 pslist ``` - 检测隐藏进程: ```bash volatility -f 1.vmem --profile=Win7SP1x64 psscan ``` 2. **网络连接分析** ```bash volatility -f 1.vmem --profile=Win7SP1x64 netscan ``` 3. **文件提取** - 提取进程内存: ```bash volatility -f 1.vmem --profile=Win7SP1x64 memdump -p <PID> -D output/ ``` - 恢复磁盘文件: ```bash volatility -f 1.vmem --profile=Win7SP1x64 dumpfiles -Q <物理地址> -D output/ ``` 4. **注册表分析** - 提取用户密码哈希: ```bash volatility -f 1.vmem --profile=Win7SP1x64 hivelist # 获取注册表地址 volatility -f 1.vmem --profile=Win7SP1x64 hashdump # 提取哈希[^1] ``` 5. **恶意软件检测** ```bash volatility -f 1.vmem --profile=Win7SP1x64 malfind # 检测注入代码 ``` --- #### **三、注意事项** 1. **Profile兼容性** 若提示`No suitable address space found`,需下载[Volatility官方Profile库](https://github.com/volatilityfoundation/profiles)[^2]。 2. **符号表扩展** 部分插件(如`linux_pslist`)需额外符号表,可通过`--plugins=`参数指定路径。 3. **结合其他工具** 使用`strings`或`Ghidra`分析提取的内存片段,增强取证深度。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值