1

Я использую Volatility 2.6 На Windows7 и Kali Linux(последняя версия),

И мои дампы памяти находятся в «.vmem» с рабочей станции Vmware и «.vmss»

Я хочу проверить базовую память Linux, по умолчанию у волатильности нет профиля Linux, поэтому я скачал их и добавил в
…/volatility/plugins/overlays/linux

Теперь я могу видеть их все в –info результатах под списком профилей. У меня нет проблем с памятью Windows Base, но когда я хочу открыть, например, сервер Ubuntu1204 или Ubuntu1404, я сталкиваюсь с ошибкой, которая говорит:

No suitable address space mapping found

Итак, наконец, я использовал imageinfo вот так, чтобы автоматически найти профиль:
Python vol.py –f /mymemory.vmem imageinfo
Но снова я сталкиваюсь с этой ошибкой в Kali Linux: (и те же ошибки в Windows и тот же результат в более старых версиях более старой волатильности)

Volatility Foundation Volatility Framework 2.6
INFO    : volatility.debug    : Determining profile based on KDBG search...
WARNING : volatility.debug    : Overlay structure cpuinfo_x86 not present in vtypes
WARNING : volatility.debug    : Overlay structure cpuinfo_x86 not present in vtypes
WARNING : volatility.debug    : Overlay structure tty_struct not present in vtypes
WARNING : volatility.debug    : Overlay structure cpuinfo_x86 not present in vtypes
WARNING : volatility.debug    : Overlay structure tty_struct not present in vtypes
Traceback (most recent call last):
  File "/usr/bin/volatility", line 192, in <module>
    main()
  File "/usr/bin/volatility", line 183, in main
    command.execute()
  File "/usr/lib/python2.7/dist-packages/volatility/commands.py", line 145, in execute
    func(outfd, data)
  File "/usr/lib/python2.7/dist-packages/volatility/plugins/imageinfo.py", line 45, in render_text
    for k, t, v in data:
  File "/usr/lib/python2.7/dist-packages/volatility/plugins/imageinfo.py", line 55, in calculate
    suglist = [ s for s, _ in kdbgscan.KDBGScan.calculate(self)]
  File "/usr/lib/python2.7/dist-packages/volatility/plugins/kdbgscan.py", line 116, in calculate
    buf = addrspace.BufferAddressSpace(self._config)
  File "/usr/lib/python2.7/dist-packages/volatility/addrspace.py", line 378, in __init__
    BaseAddressSpace.__init__(self, None, config, **kwargs)
  File "/usr/lib/python2.7/dist-packages/volatility/addrspace.py", line 73, in __init__
    self.profile = self._set_profile(config.PROFILE)
  File "/usr/lib/python2.7/dist-packages/volatility/addrspace.py", line 98, in _set_profile
    ret = profs[profile_name]()
  File "/usr/lib/python2.7/dist-packages/volatility/plugins/overlays/linux/linux.py", line 214, in __init__
    obj.Profile.__init__(self, *args, **kwargs)
  File "/usr/lib/python2.7/dist-packages/volatility/obj.py", line 859, in __init__
    self.reset()
  File "/usr/lib/python2.7/dist-packages/volatility/plugins/overlays/linux/linux.py", line 224, in reset
    self.load_vtypes()
  File "/usr/lib/python2.7/dist-packages/volatility/plugins/overlays/linux/linux.py", line 261, in load_vtypes
    vtypesvar = dwarf.DWARFParser(dwarfdata).finalize()
  File "/usr/lib/python2.7/dist-packages/volatility/dwarf.py", line 71, in __init__
    self.feed_line(line)
  File "/usr/lib/python2.7/dist-packages/volatility/dwarf.py", line 162, in feed_line
    self.process_statement(**parsed) #pylint: disable-msg=W0142
  File "/usr/lib/python2.7/dist-packages/volatility/dwarf.py", line 225, in process_statement
    self.id_to_name[statement_id] = [self.base_type_name(data)]
  File "/usr/lib/python2.7/dist-packages/volatility/dwarf.py", line 125, in base_type_name
    return self.tp2vol[data['DW_AT_name'].strip('"')]
KeyError: 'device_attribute'

0