Linux下内存取证工具Volatility的使用


发布人:admin分类:网络安全浏览量:31发布时间:2017-12-12

#01简介
Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。
项目地址:
https://code.google.com/p/volatility/
只介绍简单的使用,详细使用方法可以看CheatSheet。在官方网站包含Linux的相关命令参考:

https://code.google.com/p/volatility/wiki/LinuxCommandReference23#linux_pidhashtable,含以下内容

Processes
linux_pslist
linux_psaux
linux_pstree
linux_pslist_cache
linux_pidhashtable
linux_psxview
linux_lsof
Process Memory
linux_memmap
linux_proc_maps
linux_dump_map
linux_bash
Kernel Memory and Objects
linux_lsmod
linux_moddump
linux_tmpfs
Rootkit Detection
linux_check_afinfo
linux_check_tty
linux_keyboard_notifier
linux_check_creds
linux_check_fop
linux_check_idt
linux_check_syscall
linux_check_modules
linux_check_creds
Networking
linux_arp
linux_ifconfig
linux_route_cache
linux_netstat
linux_pkt_queues
linux_sk_buff_cache
System Information
linux_cpuinfo
linux_dmesg
linux_iomem
linux_slabinfo
linux_mount
linux_mount_cache
linux_dentry_cache
linux_find_file
linux_vma_cache
Miscellaneous
linux_volshell
linux_yarascan

#02安装
源代码安装方法:
apt-get install subversion-tools
svn checkout http://volatility.googlecode.com/svn/trunk/ /usr/local/src/volatility/

参考:
https://code.google.com/p/volatility/wiki/VolatilityInstallation

Back Track和Kali Linux中自带此程序。
以Kali-Linux为例,volatility在“应用程序”-“Kali Linux”-“数字取证”-“内存取证工具集”中。

#03基本使用命令

./vol.py ‐f [image] ­‐profile=[profile] [plugin]

应该是一个Bug,-f后面需要跟绝对路径(Kali)。

  1. 查看扫描检查、插件、地址空间等信息

  2. ./vol.py --info
  3. 查看帮助信息

  4. ./vol.py -h/--help
  5. 查看指定插件的说明

  6. ./vol.py [plugin] --help
  7. 从扩展目录加载插件

  8. ./vol.py --plugins=[path][plugin]
  9. 检查结果输出

  10. ./vol.py --output-file=[file]

#04制作Linux系统的Profile
Volatility自带一些windows系统的profile,Linux系统的Profile需要自己制作,制作的方法如下:
(实际是将module.dwarf和system.map打包成一个zip文件,接着将zip文件移动到 volatility/plugins/overlays/linux/ 中。)
Linux的Profile文件是一个zip的压缩包。
准备

https://code.google.com/p/volatility/wiki/LinuxMemoryForensics

$ sudo zip volatility/volatility/plugins/overlays/linux/Ubuntu1204.zip volatility/tools/linux/module.dwarf /boot/System.map-3.2.0-23-generic

实际也可以在https://github.com/KDPryor/LinuxVolProfiles处直接下载已经做好的profile。
在kali下位置放在/usr/share/volatility/volatility/plugins/overlays/

如果知道dump的内存是那种操作系统和操作系统版本的,可以直接制定profile;如果不知道是那种系统的内存,可以使用imageinfo选项,volatility会尝试自动判断内存的类型

vol -f /root/Downloads/pexit.vmem imageinfo

#05获取内存镜像
可以参考

http://www.forensicswiki.org/wiki/Tools%3aMemory_Imaging#Linux
Dd
$ sudo dd if=/dev/mem of=/tmp/mem_dump.dd bs=1MB count=1010+0 records in10+0 records out10000000 bytes (10 MB) copied, 0.0331212 s, 302 MB/s

#06使用示例
检查内存进程

- 了解Linux系统常见系统进程;

- 查看自动任务进程;

- 如果系统没有重启过,但部分进程都是开机启动,查看进程运行时间;

上面有进程号1517、27157、7334创建的时间明显与其他进程的创建时间不同,为可疑进程

检查进程详细信息

vol -f /root/Downloads/pexit.vmem --profile=LinuxUbuntu1004_pae32-33x86 linux_psaux

1517进程,位置在/usr/bin/httpd,另外27157进程的参数是 -B -c,通过查找rsyslogd的帮助文件发现rsyslogd并没有-B的参数。
通过linux_pidhashtable参数可以查找到隐藏的进程

可以看到有4个rsyslogd进程与27157的进程同时建立。
使用linux_netstat查看网络链接情况。

vol -f /root/Downloads/pexit.vmem --profile=LinuxUbuntu1004_pae32-33x86 linux_netstat

异常链接的地址为210.177.175.82
可以通过linux_route_cache参数查看路由表情况。

vol -f /root/Downloads/pexit.vmem --profile=LinuxUbuntu1004_pae32-33x86 linux_route_cache

使用linux_lsof命令查看1517和27157进程相关的文件

vol -f /root/Downloads/pexit.vmem --profile=LinuxUbuntu1004_pae32-33x86 linux_lsof

注意“/tmp/.ICE-unix/-log/”文件
使用linux_proc_maps参数,可以查看进程细节包括共享库、开始和结束的位置等信息

vol -f /root/Downloads/pexit.vmem --profile=LinuxUbuntu1004_pae32-33x86 linux_proc_maps | grep 1517

查看可疑文件的位置

vol -f /root/Downloads/pexit.vmem --profile=LinuxUbuntu1004_pae32-33x86 linux_find_file -F "/tmp/.ICE-unix/-log/httpds"

vol -f /root/Downloads/pexit.vmem --profile=LinuxUbuntu1004_pae32-33x86 linux_find_file -i 0xf5a4e568 -O /root/dump

strings /root/dump

参考:

http://sempersecurus.blogspot.com/2013/12/a-forensic-overview-of-linux-perlbot.html

https://code.google.com/p/volatility/wiki/LinuxCommandReference23#linux_pidhashtable

被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21224190(PV) 页面执行时间:208.786(MS)
  • xml
  • 网站地图