1. profiles을 생성하기 위해 폴더 이동
|
# cd [volatility directory]/tools/linux |
설치시 경로를 별도로 지정하지 않았다면 /usr/tools/linux를 확인해 보시기 바랍니다.
2. profiles를 생성하기 위해 make 명령어 실행
|
# make |
make를 진행하면 module.dwarf 파일과 system map file이 생성됩니다.
system map file은 /boot 폴더에 생성되며 현재 커널버전과 동일하게 만들어집니다.
※ profiles 생성 전 확인 사항
|
# uname -a Linux localhost.localdomain 3.10.0-693.2.2.el7.x86_64 #1 SMP Tue Sep 12 22:26:13 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux |
3. make 명령 실행 후 확인사항
|
# ls /boot | grep System |
4. profiles를 생성하기 위해 zip 명령어 실행 및 이동
|
# zip [profile name 지정] ./module.dwarf /boot/[make 이후 만들어진 system map file] |
make 이후 생성된 module.dwarf 파일과 system map file을 zip으로 묶는 작업입니다.
완료되면 해당 파일을 [volatility directory]/volatility/plugins/overlays/linux로 이동합니다.
5. zip 파일 확인
|
# ls /[volatility directory]/volatility/plugins/overlays/linux | grep .zip |
6. profiles 확인
|
# python ./vol.py --info | grep LinuxCent Profiles |
info 명령을 통해 생성한 profiles을 확인합니다.
'디지털포렌식&사고대응 > Volatility' 카테고리의 다른 글
| Volatility 볼라틸리티 2.1 Plugins - 윈도우#02 (0) | 2021.03.19 |
|---|---|
| Volatility 볼라틸리티 2.1 Plugins - 윈도우#01 (0) | 2021.03.19 |
| Volatility 볼라틸리티 plugins 및 profiles 확인 (0) | 2018.02.19 |
| Volatility 볼라틸리티를 이용한 메모리 분석 방법론 (0) | 2017.11.30 |
| Volatility 볼라틸리티를 이용한 메모리 정보 추출 (0) | 2017.11.30 |