linux内存取证之内核信息取证（Volatility取证）

1. Linux kernel 内存分析：
   1. Volatility Linux_iomem 插件：查看内存区域的地址范围
   2. 验证LIME获取区域是否完整，两个工具结果比较：Volatility limeInfo和Volatility linux_iomem | grep "System RAM"，如果System RAM 缺失的话，暗示这工具设计的不符合，操作不准确
   3. 虚拟地址映射：32位系统, 用户空间低于3GB， 内核空间高于1GB，. 这意味这内核地址起始于0xC0000000 到 0xFFFFFFFF,64位系统中 内核地址起始于 0xFFFFFFFF80000000.
   4. linux_check_syscall 插件determine whether a handler is in a trusted region
2. Kernel Debug Buffer：一些内核的组件或者驱动产生的一些log文件，这些文件存储在内核空间kernel’s debug ring buffer中，一般调用dmesg 查看，内存分析中调用linux_dmesg 查看
3. Loadable kernel modules (LKMs)：模块功能是确保代码动态的加载到运行的操作系统中。Kernel modules 是ELF文件，一般后缀为 .ko 。内核级的Rookit经常利用这些模块来操作系统
   1. Volatility Linux_lsmod 插件：查看加载的LKM文件：通过枚举全局变量表中Modules 变量。结果和lsmod 结果一样。
   2. –P选项，可以显示模块加载时候的参数选项
   3. –S选项，显示模块中每一小节的地址偏移
   4. 提取模块：python vol.py --profile=LinuxDebian-3_2x64 -f debian.lime     linux_moddump -D dump -r lime
      1. -r 是正则，要提取的模块
      2. -D 文件存储的路径