Profile

Article pour les profiles volatility

Windows Profile

Pour Windows, il y'a nativement une panoplie de profile disponible. Afin de trouver celui qui correspond le mieux. Nous allons faire ces commandes :

vol.py -f <dump> imageinfo

vol.py -f <dump> kdbgscan

Linux Profile

Pour Linux, il est préférable de faire des profiles :

strings <dump> | grep -i "linux version" | uniq

En fonction des informations récupérée, nous pouvons obtenir la distribution & la version du kernel. Il ne reste plus qu'à télécharger l'ISO. Une fois que c'est bon, nous pouvons faire ça :

sudo apt install libelf-dev
git clone https://github.com/tomhughes/libdwarf.git libdwarf
cd libdwarf/libdwarf & ./configure
sudo make
cd ../dwarfdump
./configure & make
sudo make install
cd volatility/tools/linux/
sudo make  -C /lib/modules/<name>/build CONFIG_DEBUG_INFO=y M= modules
dwarfdump -di ./module.o > module.dwarf
sudo zip Profile.zip module.dwarf /boot/XXX.map

PreviousForensic NextCryptographie

Last updated 8 months ago