Почему волатильность ничего не возвращает при запуске linux_pslist

Question

Почему волатильность ничего не возвращает при запуске linux_pslist

Мне удалось извлечь энергозависимую память из эмулятора андроида, используя LiME и используя волатильность для дальнейшего анализа памяти.

После запуска команды:

$ python vol.py --profile = LinuxGoldfish3_4ARM -f /path/to/lime.dump linux_pslist

Я получил следующее:

Volatility Foundation Volatility Framework 2.3.1 Имя смещения Pid Uid Gid Время начала DTB ---------- -------------------- ----- ---------- --------------- ------ ---------- --------- -

Могу ли я узнать, почему ничего не возвращается?

0

android volatile information-extraction volatility

Источник

user4522811 03 фев '15 в 05:55

1 ответ

Другие вопросы по тегам android volatile information-extraction volatility

user3193512 07 май '15 в 10:44 2015-05-07 10:44 · Answer 1 · 2015-05-07 10:44

Я хотел бы убедиться, что профиль, который вы используете, отражает ядро, которое работает на вашем устройстве. У меня была такая же проблема при создании профиля волатильности, который использовал файл System.map, который не совсем соответствовал тому, что было на моем Samsung S2 I9100T.

Если вы заинтересованы в тестировании на реальном устройстве (или использовании нестандартного ПЗУ в среде эмулятора), я следовал этим руководствам по сборке с соответствующим ПЗУ и ядром, загруженным из репозитория cyanogenmod git, и смог выгрузить память с помощью LiME, а затем успешно проанализировать это в волатильности.