我即将对linux物理内存进行取证调查。我已经转储了一个ARM Linux,其配置文件未在Volatility中列出,因此我可以使用Hex Editor找到该过程和最新命令。这里是问题,如何创建Volatility配置文件,我应该首先找到网络连接的偏移量,打开端口,插座.....然后去波动?通过十六进制编辑器,我可以在Memory Dump中看到一些信息,是否有人可以帮助我如何找到其余信息。在创建波动率配置文件之前,是否有必要找到每个信息的所有偏移量和地址空间?
答案 0 :(得分:0)
对于网络相关调查,请为pcap文件进行文件雕刻。使用tshark从pcap文件中提取残余