LiME + volatility2.4进行内存读取

volatility_2.4

是一个内存dump内容查看工具。下载地址

安装

需要python2.6，直接在代码目录下

./configure
make && make install

即可。然后执行

python vol.py --info

查看输出。可能会提示找不到Crypto.Hash和libstorm3，找到对应的python模块，

python setup.py install

即可。

需要一个dump内存的工具，网上找了有LiME，下载地址

编译安装需要内核头文件，安装在/usr/src/kernels目录里。

sudo yum install kernel-devel

如果安装的目录名（显示为kernel版本）与 uname -r 不一样，说明系统需要升级了，需要sudo yum upgrade一下。

LiME只能dump整个内存。没办法，凑合用吧。

insmod ./lime_xxxx.ko "path=fullmem.lime format=lime"

结束后会在目录下生成一个与内存大小一样的fullmem.lime文件。

system profile

要分析内存内容，需要指定内存所在系统的格式，需要生成配置文件。在volatility有一些配置文件，但是不一定好用，需要准备生成profile文件的工具。

cd tools/linux
make

make的时候需要依赖dwarfdump，点此下载；安装dwarfdump需要安装libelf，点此下载。编译安装完成后，有可能会报libelf.so.0找不到，但是在/usr/lib/local/目录下这个文件是有的。只要做一个软链，链到/usr/lib64/libelf.so.0就可以了。

然后需要打包生成配置文件：

zip volatility/volatility/plugins/overlays/linux/CentOS65.zip volatility/tools/linux/module.dwarf /boot/System.map-3.2.0-23-generic

后面的参数根据系统实际版本修改，执行完成后，会在对应的位置生成zip文件。
此时再执行

python vol.py --plugins=profiles --info | grep Linux

就可以看到有可用的profile列出来。

开始分析

python vol.py --profile=LinuxCentOS65x64 -f /path/fullmem.lime command