Я использую Volatility 2.6 На Windows7 и Kali Linux(последняя версия),
И мои дампы памяти находятся в «.vmem» с рабочей станции Vmware и «.vmss»
Я хочу проверить базовую память Linux, по умолчанию у волатильности нет профиля Linux, поэтому я скачал их и добавил в
…/volatility/plugins/overlays/linux
Теперь я могу видеть их все в –info результатах под списком профилей. У меня нет проблем с памятью Windows Base, но когда я хочу открыть, например, сервер Ubuntu1204 или Ubuntu1404, я сталкиваюсь с ошибкой, которая говорит:
No suitable address space mapping found
Итак, наконец, я использовал imageinfo вот так, чтобы автоматически найти профиль:
Python vol.py –f /mymemory.vmem imageinfo
Но снова я сталкиваюсь с этой ошибкой в Kali Linux: (и те же ошибки в Windows и тот же результат в более старых версиях более старой волатильности)
Volatility Foundation Volatility Framework 2.6
INFO : volatility.debug : Determining profile based on KDBG search...
WARNING : volatility.debug : Overlay structure cpuinfo_x86 not present in vtypes
WARNING : volatility.debug : Overlay structure cpuinfo_x86 not present in vtypes
WARNING : volatility.debug : Overlay structure tty_struct not present in vtypes
WARNING : volatility.debug : Overlay structure cpuinfo_x86 not present in vtypes
WARNING : volatility.debug : Overlay structure tty_struct not present in vtypes
Traceback (most recent call last):
File "/usr/bin/volatility", line 192, in <module>
main()
File "/usr/bin/volatility", line 183, in main
command.execute()
File "/usr/lib/python2.7/dist-packages/volatility/commands.py", line 145, in execute
func(outfd, data)
File "/usr/lib/python2.7/dist-packages/volatility/plugins/imageinfo.py", line 45, in render_text
for k, t, v in data:
File "/usr/lib/python2.7/dist-packages/volatility/plugins/imageinfo.py", line 55, in calculate
suglist = [ s for s, _ in kdbgscan.KDBGScan.calculate(self)]
File "/usr/lib/python2.7/dist-packages/volatility/plugins/kdbgscan.py", line 116, in calculate
buf = addrspace.BufferAddressSpace(self._config)
File "/usr/lib/python2.7/dist-packages/volatility/addrspace.py", line 378, in __init__
BaseAddressSpace.__init__(self, None, config, **kwargs)
File "/usr/lib/python2.7/dist-packages/volatility/addrspace.py", line 73, in __init__
self.profile = self._set_profile(config.PROFILE)
File "/usr/lib/python2.7/dist-packages/volatility/addrspace.py", line 98, in _set_profile
ret = profs[profile_name]()
File "/usr/lib/python2.7/dist-packages/volatility/plugins/overlays/linux/linux.py", line 214, in __init__
obj.Profile.__init__(self, *args, **kwargs)
File "/usr/lib/python2.7/dist-packages/volatility/obj.py", line 859, in __init__
self.reset()
File "/usr/lib/python2.7/dist-packages/volatility/plugins/overlays/linux/linux.py", line 224, in reset
self.load_vtypes()
File "/usr/lib/python2.7/dist-packages/volatility/plugins/overlays/linux/linux.py", line 261, in load_vtypes
vtypesvar = dwarf.DWARFParser(dwarfdata).finalize()
File "/usr/lib/python2.7/dist-packages/volatility/dwarf.py", line 71, in __init__
self.feed_line(line)
File "/usr/lib/python2.7/dist-packages/volatility/dwarf.py", line 162, in feed_line
self.process_statement(**parsed) #pylint: disable-msg=W0142
File "/usr/lib/python2.7/dist-packages/volatility/dwarf.py", line 225, in process_statement
self.id_to_name[statement_id] = [self.base_type_name(data)]
File "/usr/lib/python2.7/dist-packages/volatility/dwarf.py", line 125, in base_type_name
return self.tp2vol[data['DW_AT_name'].strip('"')]
KeyError: 'device_attribute'