如何使用 Volatility 在 Linux 进程内存中查找 Python 数据结构?

逆向工程 数字取证 内存转储
2021-06-22 03:19:51

我有一个 Ubuntu 18.04 内存转储(整个 RAM),当我使用 LiME 获取它时,我运行了一个 Python 程序。使用 Volatility,我想恢复其位于 Python 程序进程堆中的数据结构值。linux_proc_map插件给了我应该查看的虚拟地址。

现在,我试图找出 CPython PyObjects 如何出现在内存中,但我不确定要查找什么值,因此扫描特定值将很困难。我只知道数据结构的名字...

这里有没有其他人试图从进程内存中恢复程序数据结构?

0个回答
没有发现任何回复~
其它你可能感兴趣的问题
上一篇调试过程不会在断点处中断 下一篇使用 IDA Pro 替换每个函数开始时的字节