我即将取证调查一个linux物理内存。我已经转储了一个 ARM Linux,其配置文件未在 Volatility 中列出,因此我可以使用 Hex Editor 找到进程和最新命令。这是问题,我如何创建波动率配置文件,我应该先找到网络连接的偏移量,打开端口,套接字.....然后去波动率?通过十六进制编辑器,我可以在内存转储中看到一些信息,是否有人可以帮助我如何找到其余信息。是否有必要在创建波动率配置文件之前找到每个信息的所有偏移量和地址空间?
问问题
357 次