2 posts
Forensic
Blog ก่อนหน้าเราเคยพูดถึงการ dump memory ของ Linux ออกมา วันนี้เราจะมาดูเรื่องของการวิเคราะห์ memory แบบคร่าวๆด้วย Volatility กันต่อครับ 1. ติดตั้ง Volatility
หากเจอ error
ให้ compile dwarfdump ใหม่เอง แล้วค่อย make
2. ตรวจสอบ Kernel header…
|
1 2 3 4 5 6 |
apt-get install dwarfdump<em> </em>pip install pycrypto distorm3 git clone https://github.com/volatilityfoundation/volatility cd volatility/tools/linux/ make clean make |
|
1 |
DW_DLE_UNKNOWN_FORM (242) Possibly corrupt DWARF data (242) |
|
1 2 3 4 5 6 7 8 |
git clone https://github.com/tomhughes/libdwarf.git apt-get install libelf1 libelf-dev cd libdwarf/ ./configure make dd cp dwarfdump/dwarfdump /usr/local/bin/ cp dwarfdump/dwarfdump.conf /usr/local/lib/ cp libdwarf/libdwarf.a /usr/local/lib |
Linux มีการจัดการระบบเป็นลักษณะของ file base ดังนั้นการจะทำการ dump memory ก็สามารถทำโดยการ copy ไฟล์ได้ด้วยเช่นกัน ซึ่งโดยปกติไฟล์ที่จะทำการ copy จะเป็นไฟล์ /dev/mem, /dev/fmem, /dev/crash และ swap ไฟล์ต่างๆ แต่เนื่องด้วยเมื่อมีการพัฒนาต่อมาเรื่อยๆ ก็ได้มีการป้องกันการ copy ไฟล์ memory เหล่านั้น ทำให้เราไม่สามารถ copy file เหล่านั้นได้ตรงๆ สิ่งที่เราสามารถทำได้คือการใช้เครื่องมืออย่าง…
LINE@Techsuii.com
Recent Comments