我最近从我的三星Galaxy Nexus手机中取出RAM,我想用Volatility进行分析。但是,我有问题要建立我的个人资料。
据我所知,必须将module.dwarf文件和内存映射文件压缩在一起并将其放在适当的文件夹中。因此,在从我的Galaxy Nexus中提取/ proc / kallsyms文件后,我将它与module.dwarf文件一起压缩到一个名为samsung.zip的zip文件夹中,并将其放在/ root / majorProject / volatility / volatility / plugins / overlays /中Linux操作系统。
然而,当我运行命令时:
#python vol.py -- info | grep Profile
我没有看到我的三星星系nexus轮廓正在建立。我看到的只是Windows Vista / XP的默认配置文件等...我通过输入命令验证了这一点:
#python vol.py -- info | grep Linux
Volatile Systems Volatility Framework 2.3_beta
linux_yarascan - A shell in the Linux memory image
非常感谢此领域内的任何想法/帮助,谢谢
答案 0 :(得分:0)
尝试以 Omap-3.0.31.zip 格式命名zip文件。在我的情况下,Omap是分支名称,-3.0.31是内核的版本号(可以通过放入adb shell并键入cat / proc / version来找到)。它对我有用,在我看来,配置文件必须来自zip文件的名称。希望能帮助男人,祝你好运。