Volatility2.4以上版本及fmem使用指南

因为要做一个取证项目，需要用到volatility这款软件，网上很多教程已经是很多年以前的东西了，导致很多人在制作profile这一步就卡住了，今天解决了这个问题，记录在此，分享给大家共同学习

1、安装：

这个很简单，我这里用Debian8

apt-get install volatility
apt-get install volatility-tools

2、安装好后，需要开始制作profile

Windows的profile工具本身已经带的很全了，不需要我们操心，我们只需要关注linux和mac的制作方法

Linux的profiile制作原理很简单，把内核system.map文件和module.dwarf文件打包成zip即可

system.map在/boot目录下，一般格式为System.map-x.xx.x-x-amd64这种，如下图方框所示

这里说下module.dwarf的生成方法：

（1）执行“sudo apt-get install linux-headers-$(uname -r)”，确保安装必要的linux头文件，比如我的debian8里就没安装

（2）进入/lib/modules/x.xx.x-x-amd64文件夹，这里由于版本不同，差别不大，都是这个格式。

（3）创建build和source的软连接：

ln -s /usr/src/linux-headers-x.xx.x-x-amd64 build
ln -s /usr/src/linux-headers-x.xx.x-x-common source

（4）将/usr/src/volatility-tools/linux目录设置为777权限

（5）到volatility-tools目录，执行make命令，即可得到module.dwarf

3、然后将上面得到的module.dwarf和system.map放在一起打包为zip，就是我们需要的profile文件了

4、看了好多教程，都说要把这个制作好的文件放到volatility/plugins/overlays/linux/目录下，但是从2.4开始，这个默认目录已经改变了，我们可以通过下面这条命令找一下这个目录

find / -name overlays

我最终找到的是这个/usr/lib/python2.7/dist-packages/volatility/plugins/overlays这个目录下，如图

我们把制作好的文件放到这个目录下的linux文件夹中，最终放置的目录应该是/usr/lib/python2.7/dist-packages/volatility/plugins/overlays/linux

5、通过volatility --info 看一下，应该就可以找到了

这里你可能发现名称变了，不要担心，这是volatility根据文件内容自己生成的名称，直接调用即可

这里顺便提一下经常和volatility一起配合使用的fmem的安装方法

直接去官网上下载，然后安装的时候，若是出现错误，则可能是哪个header的包没装，执行“sudo apt-get install linux-headers-$(uname -r)”安装一下就好了，然后也需要仿照上面的步骤配置下build 和source文件，基本就没有问题了