[Volatility] Profile 만들기

----------------------------https://github.com/volatilityfoundation/volatility/wiki/Linux----------------------

분석 하려는 파일의 프로파일을 만들어 본 내용을 정리 함.

$sudo apt-get install git

$git clone https://github.com/volatilityfoundation/volatility.git

$sudo apt-get install dwarfdump

--> volaitilty의 tools의 자신이 만드려는 os로 간다.

--> volatility/tools/linux 로 옮김

$sudo make -C /lib/modules/$(uname -r)/build CONFIG_DEBUG_INFO=y M=$PWD modules

$dwarfdump -di ./module.o > module.dwarf

$head module.dwarf

--> Create vtypes

--> he current method to create vtypes (kernel's data structures) is to check out the source code and compile 'module.c'
      against the kernel that you want to analyze

$sudo zip output.zip module.dwarf /boot/System.map-$(uname -r)

그러면 이제 output.zip이 프로파일 생성이다.

그리고 이제 voliatilty plugin의 overlay에 해당 파일을 복사해주면 된다.

$sudo cp output.zip /usr/lib/python2.7/dist-packages/volatility/plugins/overlays/linux/

------------------------------------------------------------------------------------------------------------------------------

$ volatility --info

Volatility Foundation Volatility Framework 2.5

Profiles

--------

Linux12_04_1x64                           - A Profile for Linux 12.04.1 x64

LinuxUbuntu_12_04_x64_3_2_0-23-genericx64 - A Profile for Linux Ubuntu_12.04_x64_3.2.0-23-generic x64

LinuxUbuntu_12_04_x64_3_5_0-23-genericx64 - A Profile for Linux Ubuntu_12.04_x64_3.5.0-23-generic x64

Linuxoutputx64                            - A Profile for Linux output x64