我正在加载虚拟机,然后将其暂停。我得到了 .vmem(虚拟内存映像)和 .vmss(快照)文件。要使用 volatility 分析这两个文件,我需要根据内存映像的内核版本创建一个配置文件。在普通 vm 上,它运行的是受限 shell,这不允许我使用普通命令来查找 linux 版本。我记得找到了一些有用的东西,但我跳过了它。我在自己的 linux pc 上运行了该命令并指定了内存映像。
它遵循以下思路:命令(某物(名称)然后你指定内存映像然后你输入 grep Linux
它告诉了我内存映像的版本,但我跳过了它,因为我认为它不正确。现在,我再也找不到该命令了。