Estoy utilizando Volatility Framework 2.2 para analizar un volcado de memoria de Linux.
Este volcado de memoria se tomó de una máquina Ubuntu 12.04 LTS x86_64 con la versión del núcleo 3.5.0-23
Tengo el perfil para eso y lo puedes encontrar en el enlace a continuación.
He colocado este archivo zip en la ubicación: / volatility / plugins / overlays / linux
debajo está la salida del comando:
python vol.py --info | grep Linux
LinuxUbuntu1204x64 - A Profile for Linux Ubuntu1204 x64
ahora uso este perfil para analizar el volcado de memoria:
python vol.py --profile=LinuxUbuntu1204x64 -f mem.dump linux_pslist
y obtengo una salida en blanco!
$ python vol.py --profile=LinuxUbuntu1204x64 -f mem.dump linux_pslist
Volatile Systems Volatility Framework 2.2
Offset Name Pid Uid Start Time
------------------ -------------------- --------------- --------------- ----------
no me da la lista de procesos
También he intentado esto con otro volcado de memoria y la misma salida.
Lo estoy probando en un volcado de memoria de Linux provisto en un reciente desafío forense de CTCT, ebCTF 2013.
Puedes encontrar el artículo aquí:
Estoy utilizando el mismo perfil proporcionado por este usuario, sin embargo, en mi caso, no funciona.
¿Alguna idea de por qué obtendría una salida en blanco?
Gracias.