因為要做一個取證項目,需要用到volatility這款軟件,網上很多教程已經是很多年以前的東西了,導致很多人在制作profile這一步就卡住了,今天解決了這個問題,記錄在此,分享給大家共同學習
1、安裝:
這個很簡單,我這里用Debian8
apt-get install volatility apt-get install volatility-tools
2、安裝好后,需要開始制作profile
Windows的profile工具本身已經帶的很全了,不需要我們操心,我們只需要關注linux和mac的制作方法
Linux的profiile制作原理很簡單,把內核system.map文件和module.dwarf文件打包成zip即可
system.map在/boot目錄下,一般格式為System.map-x.xx.x-x-amd64這種,如下圖方框所示
這里說下module.dwarf的生成方法:
(1)執行“sudo apt-get install linux-headers-$(uname -r)”,確保安裝必要的linux頭文件,比如我的debian8里就沒安裝
(2)進入/lib/modules/x.xx.x-x-amd64文件夾,這里由於版本不同,差別不大,都是這個格式。
(3)創建build和source的軟連接:
ln -s /usr/src/linux-headers-x.xx.x-x-amd64 build ln -s /usr/src/linux-headers-x.xx.x-x-common source
(4)將/usr/src/volatility-tools/linux目錄設置為777權限
(5)到volatility-tools目錄,執行make命令,即可得到module.dwarf
3、然后將上面得到的module.dwarf和system.map放在一起打包為zip,就是我們需要的profile文件了
4、看了好多教程,都說要把這個制作好的文件放到volatility/plugins/overlays/linux/目錄下,但是從2.4開始,這個默認目錄已經改變了,我們可以通過下面這條命令找一下這個目錄
find / -name overlays
我最終找到的是這個/usr/lib/python2.7/dist-packages/volatility/plugins/overlays這個目錄下,如圖
我們把制作好的文件放到這個目錄下的linux文件夾中,最終放置的目錄應該是/usr/lib/python2.7/dist-packages/volatility/plugins/overlays/linux
5、通過volatility --info 看一下,應該就可以找到了
這里你可能發現名稱變了,不要擔心,這是volatility根據文件內容自己生成的名稱,直接調用即可
這里順便提一下經常和volatility一起配合使用的fmem的安裝方法
直接去官網上下載,然后安裝的時候,若是出現錯誤,則可能是哪個header的包沒裝,執行“sudo apt-get install linux-headers-$(uname -r)”安裝一下就好了,然后也需要仿照上面的步驟配置下build 和source文件,基本就沒有問題了