Volatility2.4以上版本及fmem使用指南

因为要做一个取证项目,需要用到volatility这款软件,网上很多教程已经是很多年以前的东西了,导致很多人在制作profile这一步就卡住了,今天解决了这个问题,记录在此,分享给大家共同学习

1、安装:

这个很简单,我这里用Debian8

apt-get install volatility
apt-get install volatility-tools

2、安装好后,需要开始制作profile

Windows的profile工具本身已经带的很全了,不需要我们操心,我们只需要关注linux和mac的制作方法

Linux的profiile制作原理很简单,把内核system.map文件和module.dwarf文件打包成zip即可

system.map在/boot目录下,一般格式为System.map-x.xx.x-x-amd64这种,如下图方框所示

这里说下module.dwarf的生成方法:

(1)执行“sudo apt-get install linux-headers-$(uname -r)”,确保安装必要的linux头文件,比如我的debian8里就没安装

(2)进入/lib/modules/x.xx.x-x-amd64文件夹,这里由于版本不同,差别不大,都是这个格式。

(3)创建build和source的软连接:

ln -s /usr/src/linux-headers-x.xx.x-x-amd64 build
ln -s /usr/src/linux-headers-x.xx.x-x-common source

(4)将/usr/src/volatility-tools/linux目录设置为777权限

(5)到volatility-tools目录,执行make命令,即可得到module.dwarf

3、然后将上面得到的module.dwarf和system.map放在一起打包为zip,就是我们需要的profile文件了

4、看了好多教程,都说要把这个制作好的文件放到volatility/plugins/overlays/linux/目录下,但是从2.4开始,这个默认目录已经改变了,我们可以通过下面这条命令找一下这个目录

find / -name overlays

我最终找到的是这个/usr/lib/python2.7/dist-packages/volatility/plugins/overlays这个目录下,如图

我们把制作好的文件放到这个目录下的linux文件夹中,最终放置的目录应该是/usr/lib/python2.7/dist-packages/volatility/plugins/overlays/linux

5、通过volatility --info 看一下,应该就可以找到了

这里你可能发现名称变了,不要担心,这是volatility根据文件内容自己生成的名称,直接调用即可

这里顺便提一下经常和volatility一起配合使用的fmem的安装方法

直接去官网上下载,然后安装的时候,若是出现错误,则可能是哪个header的包没装,执行“sudo apt-get install linux-headers-$(uname -r)”安装一下就好了,然后也需要仿照上面的步骤配置下build 和source文件,基本就没有问题了

时间: 2024-10-11 20:54:12

Volatility2.4以上版本及fmem使用指南的相关文章

07 PB12.5版本的WEBSERVICE部署指南

环境:WINDOWS SERVER 2008 R2 + SQLSERVER 2008R2 1,  安装IIS 7.X 2,  安装Dot.net 4.0 3,  安装SQLSERVER 2008 R2(注意不必要安装SNC了,SQL 2008R2已经带了) 4,  安装PB12.5的Prerequisites 5,  安装PB .NET Components (Runtime DLL): PBNETRT125.MSI,或者不嫌麻烦就装PB12.5.如果是解密版的pb12.5,生成的PBNETRT

Emacs 快速指南 - 原生中文手册

Emacs 快速指南 -折叠目录 1. 小结(SUMMARY) 2. 基本的光标控制(BASIC CURSOR CONTROL) 3. 如果 EMACS 失去响应(IF EMACS STOPS RESPONDING) 4. 被禁用的命令(DISABLED COMMANDS) 5. 窗格(WINDOWS) 6. 插入与删除(INSERTING AND DELETING) 7. 撤销(UNDO) 8. 文件(FILE) 9. 缓冲区(BUFFER) 10. 命令集扩展(EXTENDING THE C

hadoop权威指南 chapter1 Meet Hadoop

Meet Hadoop 1.1 Data!(数据) Most of the data is locked up in the largest web properties (like search engines), or scientific or financial institutions, isn't it? Does the advent of "Big Data," as it is being called, affect smaller organizations or

python代码风格指南:pep8 中文版

本文档所提供的编码规范,适用于主要的Python发行版中组成标准库的Python代码.请参阅PEP关于Python的C实现的C编码风格指南的描述. 本文档和PEP257(文档字符串规范)改编自Guido的<Python Style Guide>一文,并从<Barry's style guide>添加了部分内容作为补充. 这篇风格指南随着时间的推移而逐渐演变,随着语言本身的变化,一些过去的约定已经过时,并确定了更多新的约定. 许多项目都有自己的编码风格指南.如果有任何冲突,优先使用该

Emacs 快速指南(中文翻译)

Emacs 快速指南 目录 1. 小结(SUMMARY) 2. 基本的光标控制(BASIC CURSOR CONTROL) 3. 如果 EMACS 失去响应(IF EMACS STOPS RESPONDING) 4. 被禁用的命令(DISABLED COMMANDS) 5. 窗格(WINDOWS) 6. 插入与删除(INSERTING AND DELETING) 7. 撤销(UNDO) 8. 文件(FILE) 9. 缓冲区(BUFFER) 10. 命令集扩展(EXTENDING THE COMM

CoreOS Linux引入了Kubernetes kubelet

CoreOS Linux引入了Kubernetes kubelet 作者:Kelsey Hightower 2015年8月14日 这周我们在 CoreOS Linux 的 alpha 开发版集成了 kubelet——Kubernetes 的一个核心内嵌组件.Kubelet 负责维护 pod(应用实例)集合.Pod 集合由本地系统的一个或多个容器构成.在 Kubernetes 集群中,kubelet 用于作为本地代理,通过访问 Kubernetes 的 API 服务器,监控 PodSpecs 的状

【转载】基于Docker的CaaS容器云平台架构设计及市场分析

[转自]http://www.cnblogs.com/darkprince/p/5115739.html 基于Docker的CaaS容器云平台架构设计及市场分析 ---转载请注明出处,多谢!--- 1 项目背景---概述: “在移动互联网时代,企业需要寻找新的软件交付流程和IT架构,从而实现架构平台化,交付持续化,业务服务化. 容器将成为新一代应用的标准交付件,容器云将帮助企业用户构建研发流程和云平台基础设施.缩短应用向云端交付的周期,降低运营门槛.加速企业向互联网技术和业务的双转型. 容器云将

平台架构设计及市场分析

平台架构设计及市场分析 基于Docker的CaaS容器云平台架构设计及市场分析 ---转载请注明出处,多谢!--- 1 项目背景---概述: “在移动互联网时代,企业需要寻找新的软件交付流程和IT架构,从而实现架构平台化,交付持续化,业务服务化. 容器将成为新一代应用的标准交付件,容器云将帮助企业用户构建研发流程和云平台基础设施.缩短应用向云端交付的周期,降低运营门槛.加速企业向互联网技术和业务的双转型. 容器云将对接各类代码托管库,实现自动化持续集成和DOCKER镜像构建,为新一代应用交付和开

Gradle的简介与安装

Gradle介绍 Gradle是一个基于JVM的构建工具,它提供了: 像Ant一样,通用灵活的构建工具 可以切换的,基于约定的构建框架 强大的多工程构建支持 基于Apache Ivy的强大的依赖管理 支持maven, Ivy仓库 支持传递性依赖管理,而不需要远程仓库或者是pom.xml和ivy.xml配置文件. 对Ant的任务做了很好的集成 基于Groovy,build脚本使用Groovy编写 有广泛的领域模型支持构建 Gradle 概述 1,基于声明和基于约定的构建. 2,依赖型的编程语言.