RuCore.NET

Как сделать дамп оперативной памяти в Linux





Содержание оперативной памяти является очень важной информацией при изучении предыдущих действий с машиной. Оперативная память может содержать как части самих исполняемых процессов, так и части удаленных файлов, пользовательских сессий, криптографических ключей. При современном распространении сложных систем защиты информации, основанных на криптовании восстановление их ключей становиться чуть-ли не одной из основных задач для исследования. В защищенных системах зачастую оперативная память это единственное место где могут сохраниться защитные ключи и другая временная, но очень важная информация.

 



Получаем образ оперативной памяти

Как и в случае со снятием образа жесткого диска в Linux, существует несколько способов сделать дамп оперативной памяти в Linux. Среди вариантов:

  • использование нативного модуля ядра Linux Memory Extractor (LiME);
  • скрипт Linux Memory Grabber, который не требует установки и который можно запускать, к примеру, с флешки;
  • связка утилит lmap и pmem, которые входят в пакет Rekall. Их-то я и буду использовать.

Пара слов о Rekall. Это отдельная ветвь развития известного фреймворка Volatility Framework, которая написана на Python и предназначена специально для включения в форензик-дистрибутивы, работающие с Live CD.

Переходим в папку с утилитой и собираем ее из исходников:

$ cd rekall/tools/linux/
$ make

Грузим драйвер ядра pmem.ko в оперативную память:

$ sudo insmod pmem.ko

Проверяем инициализацию драйвера:

$ sudo lsmod

После этого драйвер создает файл-контейнер под наш будущий образ RAM: /dev/pmem.

Теперь с помощью все той же утилиты dd создаем сам образ оперативной памяти системы:

$ dd if=/dev/pmem of=forensic_RAM_image.raw

Ну и после завершения работы выгружаем драйвер:

$ rmmod pmem

 

Дело сделано! Теперь у нас есть все необходимое для дальнейшего анализа. Обработка и анализ полученных результатов (как дампа оперативной памяти так и swap-памяти) может проводиться как в ручную с помощью например HEX-редактора.

 

Источник: http://www.spy-soft.net/



Поделись статьей с друзьями


71 просмотров



Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: