Awesome

windows 用法

volatility_2.6_win64_standalone.exe --plugins=.\creat_profile --profile=LinuxCentOS7-229x64 -f path.vmem linux_netscan

MemoryForensics

基于 volatility 源码分析

第一章 linux内存取证流程与volatility源码分析

第一节 linux 内存取证流程

https://github.com/haidragon/MemoryForensics/blob/master/pages/Chapter1/page1/page1.md

第二节 volatility 源码整体架构分析上

https://github.com/haidragon/MemoryForensics/blob/master/pages/Chapter1/page3/page3.md

第三节 volatility 源码整体架构分析下

https://github.com/haidragon/MemoryForensics/blob/master/pages/Chapter1/page4/page4.md

第四节 linux部分profile源码分析

https://github.com/haidragon/MemoryForensics/blob/master/pages/Chapter1/page5/page5.md

第五节 volatility 简单插件编写

https://github.com/haidragon/MemoryForensics/blob/master/pages/Chapter1/page6/page6.md

第二章 linux内核部分上(volatility 插件)

第一节 linux进程遍历

第二节 linux syscall遍历

第三节 linux 模块遍历

第四节 linux 环境变量遍历

第五节 linux arp插件 https://github.com/haidragon/MemoryForensics/blob/master/pages/Chapter2/page5.md

第三章 linux内核部分下(volatility 插件)

第一节 inline_kernel 检测

第二节内核apihooks检测

第三节 linux 进程隐藏检测

第四节 linux 模块隐藏检测

第五节 linux netfiter检测

第四章 linux内核rootkit实现部分

第一节 linux 内核双机调试开发环境搭建

第二节 linux 模块注入技术

第三节 linux netfiter开发

第四节 linux 进程/模块隐藏技术

第五节 linux 内核hooks

第六节 linux 内核重载技术

第七节 intel-VT(kvm)虚拟化技术

Awesome

windows 用法

MemoryForensics

第一章 linux内存取证流程与volatility源码分析

第一节 linux 内存取证流程

第二节 volatility 源码整体架构分析上

第三节 volatility 源码整体架构分析下

第四节 linux部分profile源码分析

第五节 volatility 简单插件编写

第二章 linux内核部分上(volatility 插件)

第一节 linux进程遍历

第二节 linux syscall遍历

第三节 linux 模块遍历

第四节 linux 环境变量遍历

第五节 linux arp插件 https://github.com/haidragon/MemoryForensics/blob/master/pages/Chapter2/page5.md

第三章 linux内核部分下(volatility 插件)

第一节 inline_kernel 检测

第二节 内核apihooks检测

第三节 linux 进程隐藏检测

第四节 linux 模块隐藏检测

第五节 linux netfiter检测

第四章 linux内核rootkit实现部分

第一节 linux 内核双机调试开发环境搭建

第二节 linux 模块注入技术

第三节 linux netfiter开发

第四节 linux 进程/模块隐藏技术

第五节 linux 内核hooks

第六节 linux 内核重载技术

第七节 intel-VT(kvm)虚拟化技术

第二节内核apihooks检测