Memory 使用hexeditor进行Linux物理内存分析以进行取证
我将对linux物理内存进行取证调查。我已经转储了一个armlinux,它的概要文件没有在Volatility中列出,所以我可以使用Hex编辑器找到进程和最新命令。这里有一个问题,我如何创建波动性配置文件,我应该首先找到网络连接、开放端口、套接字的偏移量。。。。。那就去波动性?通过十六进制编辑器,我可以在内存转储中看到一些信息,是否有人可以帮助我如何找到其余的信息。在创建波动率配置文件之前,是否需要找到每个信息的所有偏移量和地址空间?对于网络相关调查,请对pcap文件进行文件雕刻。使用tshark从pcap文件中提取残余文件Memory 使用hexeditor进行Linux物理内存分析以进行取证,memory,analysis,dump,hex-editors,Memory,Analysis,Dump,Hex Editors,我将对linux物理内存进行取证调查。我已经转储了一个armlinux,它的概要文件没有在Volatility中列出,所以我可以使用Hex编辑器找到进程和最新命令。这里有一个问题,我如何创建波动性配置文件,我应该首先找到网络连接、开放端口、套接字的偏移量。。。。。那就去波动性?通过十六进制编辑器,我可以在内存转储中看到一些信息,是否有人可以帮助我如何找到其余的信息。在创建波动率配置文件之前,是否需要找到每个信息的所有偏移量和地址空间?对于网络相关调查,请对pcap文件进行文件雕刻。使用tshar