前提环境：

linux要有python环境，有git工具，没有的话直接配置apt更新源（具体方法网上搜索），然后使用如下命令安装环境和工具即可：

apt-getinstall python

apt-getinstall git

第一步：下载4个工具

Linux内存提取工具lime，内存分析工具volatility及相关libelf、libdwarf

 git clone https://github.com/504ensicsLabs/LiME.git

git clone https://github.com/volatilityfoundation/volatility.git

git clone https://github.com/WolfgangSt/libelf.git

git clone https://github.com/tomhughes/libdwarf.git

下载完之后就会在目录下对应生成4个文件夹如下图

第二步：提取镜像

cd LiME/src

make

insmod ./lime-5.2.0-kali2-amd64.ko"path=/root/tem/kali.lime format=lime"

其中“./lime-5.2.0-kali2-amd64.ko”是make命令之后生成的，不同linux系统名称不同，path=后面接的是提取内存后的保存位置，我保存到/root/tem/下，命名为kali.lime，这个lime文件会与内存大小相同，注意预留空间。

第三步（关键）：配置volatility环境

安装libdwarf

cd libdwarf/scripts/

sh FIX-CONFIGURE-TIMES

cd ..

./configure

make

make install

 安装libelf

cd libelf

make clean #防止make报错，或make报错后执行一下再make

make

make install

 安装头文件：

apt install linux-headers-$(uname -r)

头文件用来与volatility打包形成新的profile。

 配置volatility：

 cd volatility/tools/linux


make

 zip volatility/volatility/plugins/overlays/linux/kali.zip /boot/System.map-5.2.0-kali2-amd64 volatility/tools/linux/module.dwarf


#此命令把头文件和vol里面的dwarf文件打包成zip放到vol的linux目录下

注意：配置volatility时候make命令报错找不到libelf.so.0，就确认一下如下文件：cat /etc/ld.so.conf.d/libc.conf中是否是/usr/local/lib，不是则改成/usr/local/lib，无论是否都要使用命令更新lib：

ldconfig

注意！！！：etc/ld.so.conf.d/libc.conf这个文件在不同linux下名称不同，自行在ld.so.conf.d/文件夹中对应寻找。

 第四步：加载新的profile

进入volatility文件夹执行命令：

python vol.py --plugins=profiles --info | grep Linux

可以看到有个一新的适用的profile“Linuxkalix64”可用，一切的配置就是为了生成它。

然后就可以使用如下命令查看内存信息了：

python vol.py --profile= Linuxkalix64 -f /root/tem/kali.lime command

 command所有可用命令可以使用python vol.py –info来查看，例：

那么就可以输入如下命令来查看arp：

python vol.py --profile= Linuxkalix64 -f /root/tem/kali.lime linux_arp

特别提示：

1、本文的取证和分析在一个系统下，若取证后在其它系统下分析，那需要保证发行版相同、版本号相同、架构相同才能分析！

2、安装libdwarf会报错，安装libelf会报错，安装volatility/tools/linux下的make会报错，配置过程中报错点很多，要仔细阅读本文来解决报错问题，其他问题请留言。