Forensic
Forensic - Find Me Again
Bonjour,
J’ai un soucis pour obtenir le bon profile pour analyser le dump de la mémoire vive... Quelqu’un pourrait m’indiquer ce qui ne va pas dans mes démarches :
– j’ai d’abord trouvé le bon OS et normalement la bonne version du kernel du dump
– j’ai ensuite cherché sur https://github.com/volatilityfoundation/profiles le profile qui correspondait à ce que je voulais. Malheureusement, cela n’a pas fonctionné...
No suitable address space mapping found
Tried to open image as:
MachOAddressSpace: mac: need base
LimeAddressSpace: lime: need base
WindowsHiberFileSpace32: No base Address Space
WindowsCrashDumpSpace64BitMap: No base Address Space
WindowsCrashDumpSpace64: No base Address Space
HPAKAddressSpace: No base Address Space
VMWareMetaAddressSpace: No base Address Space
VirtualBoxCoreDumpElf64: No base Address Space
VMWareAddressSpace: No base Address Space
QemuCoreDumpElf: No base Address Space
WindowsCrashDumpSpace32: No base Address Space
SkipDuplicatesAMD64PagedMemory: No base Address Space
WindowsAMD64PagedMemory: No base Address Space
LinuxAMD64PagedMemory: No base Address Space
AMD64PagedMemory: No base Address Space
...
– j’ai ensuite eu l’idée de créer mon propre profile : j’ai donc téléchargé sur internet le bon System.map (normalement) et j’ai réutilisé le module.dwarf de la bonne version trouvée sur https://github.com/volatilityfoundation/profiles. J’ai zipé tout ça et j’ai obtenu le profile. Malheureusement, j’ai toujours la même erreur...
– j’ai dans l’idée de télécharger une VM correspondant à la bonne version de l’OS du dump mémoire afin de récupérer avec apt install le System.map et le module.dwarf pour former mon profile
Quelqu’un pourrait m’aider à comprendre mon/mes erreur(s) ? J’ai été assez vague pour éviter de spoil...
Merci d’avance pour la réponse
Forensic - Find Me Again
Hello friend, there are other ways to reach your goal, try findaes and dmsetup ...
Nouvelle réponse
Nouveau sujet