linux 内存取证_Linux内存取证lime+volatility（原创2019年10月10日）

前提环境：

linux要有python环境，有git工具，没有的话直接配置apt更新源(具体方法网上搜索)，然后使用如下命令安装环境和工具即可：

apt-getinstall python

apt-getinstall git

第一步：下载4个工具

Linux内存提取工具lime，内存分析工具volatility及相关libelf、libdwarf

下载完之后就会在目录下对应生成4个文件夹如下图

第二步：提取镜像

cd LiME/src

make

insmod ./lime-5.2.0-kali2-amd64.ko"path=/root/tem/kali.lime format=lime"

其中“./lime-5.2.0-kali2-amd64.ko”是make命令之后生成的，不同linux系统名称不同，path=后面接的是提取内存后的保存位置，我保存到/root/tem/下，命名为kali.lime，这个lime文件会与内存大小相同，注意预留空间。

第三步(关键)：配置volatility环境

安装libdwarf

cd libdwarf/scripts/

sh FIX-CONFIGURE-TIMES

cd ..

./configure

make

make install

安装libelf

cd libelf

make clean #防止make报错，或make报错后执行一下再make

make

make install

安装头文件：apt install linux-headers-$(uname-r)

头文件用来与volatility打包形成新的profile。

配置volatility：

cd volatility/tools/linux

make

zip volatility/volatility/plugins/overlays/linux/kali.zip /boot/System.map-5.2.0-kali2-amd64 volatility/tools/linux/module.dwarf

#此命令把头文件和vol里面的dwarf文件打包成zip放到vol的linux目录下

注意：配置volatility时候make命令报错找不到libelf.so.0，就确认一下如下文件：cat /etc/ld.so.conf.d/libc.conf中是否是/usr/local/lib，不是则改成/usr/local/lib，无论是否都要使用命令更新lib：ldconfig

注意！！！：etc/ld.so.conf.d/libc.conf这个文件在不同linux下名称不同，自行在ld.so.conf.d/文件夹中对应寻找。

第四步：加载新的profile

进入volatility文件夹执行命令：pythonvol.py--plugins=profiles--info|grepLinux

可以看到有个一新的适用的profile“Linuxkalix64”可用，一切的配置就是为了生成它。

然后就可以使用如下命令查看内存信息了：python vol.py--profile=Linuxkalix64 -f /root/tem/kali.lime command

command所有可用命令可以使用python vol.py –info来查看，例：

那么就可以输入如下命令来查看arp：

python vol.py--profile=Linuxkalix64 -f /root/tem/kali.lime linux_arp

特别提示：

1、本文的取证和分析在一个系统下，若取证后在其它系统下分析，那需要保证发行版相同、版本号相同、架构相同才能分析！

2、安装libdwarf会报错，安装libelf会报错，安装volatility/tools/linux下的make会报错，配置过程中报错点很多，要仔细阅读本文来解决报错问题，其他问题请留言。