0

我最近从我的三星 Galaxy Nexus 手机中删除了 RAM,我想使用 Volatility 来分析它。但是,我在建立我的个人资料时遇到了问题。

据我了解,必须将 module.dwarf 文件和内存映射文件压缩在一起,并将其放在适当的文件夹中。因此,从我的 Galaxy Nexus 中提取 /proc/kallsyms 文件后,我将它与 module.dwarf 文件一起压缩到名为 samsung.zip 的 zip 文件夹中,并将其放在 /root/majorProject/volatility/volatility/plugins/overlays/ linux。

但是,当我运行命令时:

#python vol.py -- info | grep Profile

我没有看到我的 samsung galaxy nexus 个人资料正在建立。我看到的只是 Windows Vista/XP 等的默认配置文件……我通过输入以下命令验证了这一点:

#python vol.py -- info | grep Linux
Volatile Systems Volatility Framework 2.3_beta
linux_yarascan - A shell in the Linux memory image

对此领域的任何想法/帮助将不胜感激,谢谢

4

1 回答 1

0

尝试以Omap-3.0.31.zip格式命名 zip 文件。在我的例子中,Omap 是分支名称,-3.0.31 是内核的版本号(可以通过放入 adb shell 并键入 cat /proc/version 来找到)。它对我有用,在我看来,配置文件必须来自 zip 文件的名称。希望对男人有帮助,祝你好运。

于 2014-08-27T23:16:44.650 回答