因为要做一个取证项目,需要用到volatility这款软件,网上很多教程已经是很多年以前的东西了,导致很多人在制作profile这一步就卡住了,今天解决了这个问题,记录在此,分享给大家共同学习
1、安装:
这个很简单,我这里用Debian8
apt-get install volatility apt-get install volatility-tools
2、安装好后,需要开始制作profile
Windows的profile工具本身已经带的很全了,不需要我们操心,我们只需要关注linux和mac的制作方法
Linux的profiile制作原理很简单,把内核system.map文件和module.dwarf文件打包成zip即可
system.map在/boot目录下,一般格式为System.map-x.xx.x-x-amd64这种,如下图方框所示
这里说下module.dwarf的生成方法:
(1)执行“sudo apt-get install linux-headers-$(uname -r)”,确保安装必要的linux头文件,比如我的debian8里就没安装
(2)进入/lib/modules/x.xx.x-x-amd64文件夹,这里由于版本不同,差别不大,都是这个格式。
(3)创建build和source的软连接:
ln -s /usr/src/linux-headers-x.xx.x-x-amd64 build ln -s /usr/src/linux-headers-x.xx.x-x-common source
(4)将/usr/src/volatility-tools/linux目录设置为777权限
(5)到volatility-tools目录,执行make命令,即可得到module.dwarf
3、然后将上面得到的module.dwarf和system.map放在一起打包为zip,就是我们需要的profile文件了
4、看了好多教程,都说要把这个制作好的文件放到volatility/plugins/overlays/linux/目录下,但是从2.4开始,这个默认目录已经改变了,我们可以通过下面这条命令找一下这个目录
find / -name overlays
我最终找到的是这个/usr/lib/python2.7/dist-packages/volatility/plugins/overlays这个目录下,如图
我们把制作好的文件放到这个目录下的linux文件夹中,最终放置的目录应该是/usr/lib/python2.7/dist-packages/volatility/plugins/overlays/linux
5、通过volatility --info 看一下,应该就可以找到了
这里你可能发现名称变了,不要担心,这是volatility根据文件内容自己生成的名称,直接调用即可
这里顺便提一下经常和volatility一起配合使用的fmem的安装方法
直接去官网上下载,然后安装的时候,若是出现错误,则可能是哪个header的包没装,执行“sudo apt-get install linux-headers-$(uname -r)”安装一下就好了,然后也需要仿照上面的步骤配置下build 和source文件,基本就没有问题了