0
我正在對linux物理內存進行取證調查。我已經拋棄了這個配置文件沒有在Volatility中列出的ARM Linux,所以我可以使用十六進制編輯器找到進程和最新的命令。這裏是問題,我如何創建波動率曲線,我應該首先找到網絡連接的偏移量,打開端口,套接字.....然後選擇波動率?通過十六進制編輯器,我可以看到內存轉儲中的一些信息,有沒有人可以幫助我,我怎麼才能找到其餘的。是否有必要在創建波動率曲線之前找到每個信息的所有偏移量和地址空間?Linux物理內存分析使用hexeditor進行取證