본문 바로가기

기타[etc]

[Volatility] Profile 만들기

SMALL

----------------------------https://github.com/volatilityfoundation/volatility/wiki/Linux----------------------

분석 하려는 파일의 프로파일을 만들어 본 내용을 정리 함.


$sudo apt-get install git


$git clone https://github.com/volatilityfoundation/volatility.git


$sudo apt-get install dwarfdump


--> volaitilty의 tools의 자신이 만드려는 os로 간다.

--> volatility/tools/linux 로 옮김


$sudo make -C /lib/modules/$(uname -r)/build CONFIG_DEBUG_INFO=y M=$PWD modules


$dwarfdump -di ./module.o > module.dwarf


$head module.dwarf

--> Create vtypes

--> he current method to create vtypes (kernel's data structures) is to check out the source code and compile 'module.c'
      against the kernel that you want to analyze


$sudo zip output.zip module.dwarf /boot/System.map-$(uname -r)


그러면 이제 output.zip이 프로파일 생성이다.


그리고 이제 voliatilty plugin의 overlay에 해당 파일을 복사해주면 된다.


$sudo cp output.zip /usr/lib/python2.7/dist-packages/volatility/plugins/overlays/linux/


------------------------------------------------------------------------------------------------------------------------------

$ volatility --info

Volatility Foundation Volatility Framework 2.5



Profiles

--------

Linux12_04_1x64                           - A Profile for Linux 12.04.1 x64

LinuxUbuntu_12_04_x64_3_2_0-23-genericx64 - A Profile for Linux Ubuntu_12.04_x64_3.2.0-23-generic x64

LinuxUbuntu_12_04_x64_3_5_0-23-genericx64 - A Profile for Linux Ubuntu_12.04_x64_3.5.0-23-generic x64

Linuxoutputx64                            - A Profile for Linux output x64

LIST

'기타[etc]' 카테고리의 다른 글

QEMU 네트워크 브릿지 구성  (6) 2018.03.13
파이썬 타이핑  (0) 2017.08.20
[PYTHON] bruteforce  (0) 2017.07.09
[Forensic] 17.7.5 교육 내용 정리  (0) 2017.07.05
[C언어] Serial 통신 프로그램  (0) 2017.05.22