Волатильность не удалось отсканировать дамп памяти Virtualbox

Question

Волатильность не удалось отсканировать дамп памяти Virtualbox

Я сделал дамп памяти в формате elf с помощью менеджера Virtualbox.

VBoxManage debugvm "image_name" dumpguestcore --filename test.elf

Это сработало хорошо. Затем я пытаюсь анализировать дамп с волатильностью.

Imageinfo сработал хорошо и получил результат.

volatility-2.2.standalone.exe -f test.elf imageinfo
Volatile Systems Volatility Framework 2.2
Determining profile based on KDBG search...
          Suggested Profile(s) : WinXPSP2x86, WinXPSP3x86 (Instantiated with WinXPSP2x86)
                     AS Layer1 : FileAddressSpace (C:\work\volatility\test.elf)
                      PAE type : No PAE
                           DTB : 0x2f3000L
                          KDBG : 0x5461d0
          Number of Processors : 0
     Image Type (Service Pack) : -
             KUSER_SHARED_DATA : 0xffdf0000L

Это не удалось, когда я попытался с помощью pslist.

volatility-2.2.standalone.exe -f test.elf --profile=WinXPSP3x86 pslist
Volatile Systems Volatility Framework 2.2
No suitable address space mapping found
Tried to open image as:
 LimeAddressSpace: lime: need base
 WindowsHiberFileSpace32: No base Address Space
 WindowsCrashDumpSpace64: No base Address Space
 WindowsCrashDumpSpace32: No base Address Space
 AMD64PagedMemory: No base Address Space
 JKIA32PagedMemory: No base Address Space
 JKIA32PagedMemoryPae: No base Address Space
 IA32PagedMemoryPae: Module disabled
 IA32PagedMemory: Module disabled
 LimeAddressSpace: Invalid Lime header signature
 WindowsHiberFileSpace32: No xpress signature found
 WindowsCrashDumpSpace64: Header signature invalid
 WindowsCrashDumpSpace32: Header signature invalid
 AMD64PagedMemory: Incompatible profile WinXPSP3x86 selected
 JKIA32PagedMemory: Failed valid Address Space check
 JKIA32PagedMemoryPae: Failed valid Address Space check
 IA32PagedMemoryPae: Module disabled
 IA32PagedMemory: Module disabled
 FileAddressSpace: Must be first Address Space

Может ли кто-нибудь помочь разобраться в проблеме, почему Volatility не может найти "найдено подходящее сопоставление адресного пространства"???

Большое спасибо!!

0

volatility memoryanalyzer

Источник

user1150246 18 авг '13 в 14:05

1 ответ

Другие вопросы по тегам volatility memoryanalyzer

user1150246 19 авг '13 в 02:46 2013-08-19 02:46 · Answer 1 · 2013-08-19 02:46

Решено, дамп памяти Virtualbox использовал формат ELF64, но volatility 2.2 его не поддерживал. Плагин здесь http://wiki.yobi.be/wiki/RAM_analysis может быть использован для поддержки формата ELF64.

1

Источник

user1150246 19 авг '13 в 02:46