前提环境:
linux要有python环境,有git工具,没有的话直接配置apt更新源(具体方法网上搜索),然后使用如下命令安装环境和工具即可:
apt-getinstall python
apt-getinstall git
第一步:下载4个工具
Linux内存提取工具lime,内存分析工具volatility及相关libelf、libdwarf
git clone https://github.com/504ensicsLabs/LiME.git
git clone https://github.com/volatilityfoundation/volatility.git
git clone https://github.com/WolfgangSt/libelf.git
git clone https://github.com/tomhughes/libdwarf.git
下载完之后就会在目录下对应生成4个文件夹如下图
第二步:提取镜像
cd LiME/src
make
insmod ./lime-5.2.0-kali2-amd64.ko"path=/root/tem/kali.lime format=lime"
其中“./lime-5.2.0-kali2-amd64.ko”是make命令之后生成的,不同linux系统名称不同,path=后面接的是提取内存后的保存位置,我保存到/root/tem/下,命名为kali.lime,这个lime文件会与内存大小相同,注意预留空间。
第三步(关键):配置volatility环境
安装libdwarf
cd libdwarf/scripts/
sh FIX-CONFIGURE-TIMES
cd ..
./configure
make
make install
安装libelf
cd libelf
make clean #防止make报错,或make报错后执行一下再make
make
make install
安装头文件:
apt install linux-headers-$(uname -r)
头文件用来与volatility打包形成新的profile。
配置volatility:
cd volatility/tools/linux
make
zip volatility/volatility/plugins/overlays/linux/kali.zip /boot/System.map-5.2.0-kali2-amd64 volatility/tools/linux/module.dwarf
#此命令把头文件和vol里面的dwarf文件打包成zip放到vol的linux目录下
注意:配置volatility时候make命令报错找不到libelf.so.0,就确认一下如下文件:cat /etc/ld.so.conf.d/libc.conf中是否是/usr/local/lib,不是则改成/usr/local/lib,无论是否都要使用命令更新lib:
ldconfig
注意!!!:etc/ld.so.conf.d/libc.conf这个文件在不同linux下名称不同,自行在ld.so.conf.d/文件夹中对应寻找。
第四步:加载新的profile
进入volatility文件夹执行命令:
python vol.py --plugins=profiles --info | grep Linux
可以看到有个一新的适用的profile“Linuxkalix64”可用,一切的配置就是为了生成它。
然后就可以使用如下命令查看内存信息了:
python vol.py --profile= Linuxkalix64 -f /root/tem/kali.lime command
command所有可用命令可以使用python vol.py –info来查看,例:
那么就可以输入如下命令来查看arp:
python vol.py --profile= Linuxkalix64 -f /root/tem/kali.lime linux_arp
特别提示:
1、本文的取证和分析在一个系统下,若取证后在其它系统下分析,那需要保证发行版相同、版本号相同、架构相同才能分析!
2、安装libdwarf会报错,安装libelf会报错,安装volatility/tools/linux下的make会报错,配置过程中报错点很多,要仔细阅读本文来解决报错问题,其他问题请留言。
来源:freebuf.com 2019-10-10 16:20:36 by: Rname红名
请登录后发表评论
注册