LiME + volatility2.4进行内存读取
来源:互联网 发布:阿里云服务器建站 编辑:程序博客网 时间:2024/06/14 15:02
volatility_2.4
是一个内存dump内容查看工具。下载地址
安装
需要python2.6,直接在代码目录下
./configuremake && make install
即可。然后执行
python vol.py --info
查看输出。可能会提示找不到Crypto.Hash和libstorm3,找到对应的python模块,
python setup.py install
即可。
需要一个dump内存的工具,网上找了有LiME,下载地址
编译安装需要内核头文件,安装在/usr/src/kernels目录里。
sudo yum install kernel-devel
如果安装的目录名(显示为kernel版本)与 uname -r 不一样,说明系统需要升级了,需要sudo yum upgrade一下。
LiME只能dump整个内存。没办法,凑合用吧。
insmod ./lime_xxxx.ko "path=fullmem.lime format=lime"
结束后会在目录下生成一个与内存大小一样的fullmem.lime文件。
system profile
要分析内存内容,需要指定内存所在系统的格式,需要生成配置文件。在volatility有一些配置文件,但是不一定好用,需要准备生成profile文件的工具。
cd tools/linuxmake
make的时候需要依赖dwarfdump,点此下载;安装dwarfdump需要安装libelf,点此下载。编译安装完成后,有可能会报libelf.so.0找不到,但是在/usr/lib/local/目录下这个文件是有的。只要做一个软链,链到/usr/lib64/libelf.so.0就可以了。
然后需要打包生成配置文件:
zip volatility/volatility/plugins/overlays/linux/CentOS65.zip volatility/tools/linux/module.dwarf /boot/System.map-3.2.0-23-generic
后面的参数根据系统实际版本修改,执行完成后,会在对应的位置生成zip文件。
此时再执行
python vol.py --plugins=profiles --info | grep Linux
就可以看到有可用的profile列出来。
开始分析
python vol.py --profile=LinuxCentOS65x64 -f /path/fullmem.lime command
阅读全文
0 0
- LiME + volatility2.4进行内存读取
- LiME
- 文件进行数据存储及读取(存在手机内存里)
- 读取内存
- 内存读取
- 如何畅通无阻的读取4G内存?
- 使用JDBC的CachedRowSet实现将数据源中的数据读取到内存中进行离线操作
- iphone怎样把音频文件写入本地文件,然后从本地文件读取到内存,进行播放音频?
- 如何创建内存映射文件,并对其进行写入与读取数据
- 使用Qt调用openssl 从内存中读取私钥对RSA密文进行解密
- Matlab进行视频读取
- 读取文件进行计算
- jni进行文件读取
- PHPExcel 进行Excel读取
- 内存读取以及内存对齐
- Lime, OpenFL + Haxe Cross Platform Development
- LIME:模型预测结果是否值得信任?
- WHERE 、GROUP BY,HAVING、ORDER BY、LIME
- android高级组件(2)AutoCompleteTextView,MutiAutoCompleteTextView,Spinner,ListView
- 图像处理18:透视变换
- Angular 实现类似博客评论的递归显示
- Vue之路之--Vue实例的一些理解(未完待续)
- sparksql 简单使用
- LiME + volatility2.4进行内存读取
- Android Pair记录
- Android关于中文url编码类似于%E5%8F%8C%E5%AD%90%E5%BA%A7
- poj 1033 Defragment 模拟+递归
- Neutron总结-Firewall as a Service(FWaaS)
- python爬虫学习第七天
- 第一章 实用R内置数据进行数据处理--笔记
- HDU-1848-组合博弈
- 割点和桥