ฉันใช้ Volatility 2.6 ทั้ง windows7 และ Kali Linux (เวอร์ชั่นล่าสุด)
และหน่วยความจำของฉันอยู่ใน“ .vmem” จากเวิร์กสเตชัน Vmware และ“ .vmss”
ฉันต้องการตรวจสอบความทรงจำพื้นฐานของ linux โดยความผันผวนเริ่มต้นไม่มีโปรไฟล์ Linux ดังนั้นฉันจึงดาวน์โหลดและเพิ่มเข้าไป
…/volatility/plugins/overlays/linux
ตอนนี้ฉันสามารถเห็นพวกเขาทั้งหมดในผลการค้นหาข้อมูลภายใต้รายการโปรไฟล์ ฉันไม่มีปัญหากับความทรงจำพื้นฐานของ windows แต่เมื่อฉันต้องการเปิดเช่น Ubuntu1204 หรือ Ubuntu1404server ฉันพบข้อผิดพลาดที่แจ้งว่า:
No suitable address space mapping found
ดังนั้นในที่สุดฉันก็ใช้imageinfoสิ่งนี้เพื่อค้นหาโปรไฟล์โดยอัตโนมัติ:
Python vol.py –f /mymemory.vmem imageinfo
แต่อีกครั้งฉันก็พบข้อผิดพลาดนี้ใน kali linux: (และข้อผิดพลาดเดียวกันใน windows และผลลัพธ์เดียวกันในเวอร์ชันเก่าที่ผันผวนมากกว่า)
Volatility Foundation Volatility Framework 2.6
INFO : volatility.debug : Determining profile based on KDBG search...
WARNING : volatility.debug : Overlay structure cpuinfo_x86 not present in vtypes
WARNING : volatility.debug : Overlay structure cpuinfo_x86 not present in vtypes
WARNING : volatility.debug : Overlay structure tty_struct not present in vtypes
WARNING : volatility.debug : Overlay structure cpuinfo_x86 not present in vtypes
WARNING : volatility.debug : Overlay structure tty_struct not present in vtypes
Traceback (most recent call last):
File "/usr/bin/volatility", line 192, in <module>
main()
File "/usr/bin/volatility", line 183, in main
command.execute()
File "/usr/lib/python2.7/dist-packages/volatility/commands.py", line 145, in execute
func(outfd, data)
File "/usr/lib/python2.7/dist-packages/volatility/plugins/imageinfo.py", line 45, in render_text
for k, t, v in data:
File "/usr/lib/python2.7/dist-packages/volatility/plugins/imageinfo.py", line 55, in calculate
suglist = [ s for s, _ in kdbgscan.KDBGScan.calculate(self)]
File "/usr/lib/python2.7/dist-packages/volatility/plugins/kdbgscan.py", line 116, in calculate
buf = addrspace.BufferAddressSpace(self._config)
File "/usr/lib/python2.7/dist-packages/volatility/addrspace.py", line 378, in __init__
BaseAddressSpace.__init__(self, None, config, **kwargs)
File "/usr/lib/python2.7/dist-packages/volatility/addrspace.py", line 73, in __init__
self.profile = self._set_profile(config.PROFILE)
File "/usr/lib/python2.7/dist-packages/volatility/addrspace.py", line 98, in _set_profile
ret = profs[profile_name]()
File "/usr/lib/python2.7/dist-packages/volatility/plugins/overlays/linux/linux.py", line 214, in __init__
obj.Profile.__init__(self, *args, **kwargs)
File "/usr/lib/python2.7/dist-packages/volatility/obj.py", line 859, in __init__
self.reset()
File "/usr/lib/python2.7/dist-packages/volatility/plugins/overlays/linux/linux.py", line 224, in reset
self.load_vtypes()
File "/usr/lib/python2.7/dist-packages/volatility/plugins/overlays/linux/linux.py", line 261, in load_vtypes
vtypesvar = dwarf.DWARFParser(dwarfdata).finalize()
File "/usr/lib/python2.7/dist-packages/volatility/dwarf.py", line 71, in __init__
self.feed_line(line)
File "/usr/lib/python2.7/dist-packages/volatility/dwarf.py", line 162, in feed_line
self.process_statement(**parsed) #pylint: disable-msg=W0142
File "/usr/lib/python2.7/dist-packages/volatility/dwarf.py", line 225, in process_statement
self.id_to_name[statement_id] = [self.base_type_name(data)]
File "/usr/lib/python2.7/dist-packages/volatility/dwarf.py", line 125, in base_type_name
return self.tp2vol[data['DW_AT_name'].strip('"')]
KeyError: 'device_attribute'