Leo Postado Janeiro 5, 2018 em 23:07 Compartilhar Postado Janeiro 5, 2018 em 23:07 Bom dia, boa tarde boa noite srs e sras. Fiz um pequeno tutorial técnico e bem objetivo sobre extração do conteúdo da memória ram de sistemas operacionais GNU/Linux, CentOS 7 e Debian 9.3 para ser mais específico. Para criar o tutorial realizei dois laboratórios em máquinas virtuais utilizando o VirtualBox 5.1.30 r118389 (Qt5.7.1). Para os dois laboratórios utilizei as ISOs mínimas para ter certeza de de estar instalando apenas os pacotes necessários para executar o módulo LiME. e sobreescrever o mínimo possível da memória ram para que não prejudique analises posteriores. Debian 9 (debian-9.3.0-amd64-xfce-CD-1.iso) 1) Como root crie o arquivo com o seguinte comando: # echo "menteb.in/apoie" > ~/teste 2) Remova de forma permanete do disco: # shred -n 3 -u ~/teste 3) Adicione o seguinte conteúdo dentro do arquivo /etc/apt/source.list (Neste ponto será adicionado uma lista de links onde o OS conseguirá encontrar os pacotes que iremos mandar instalar no próximo passo) deb http://deb.debian.org/debian stretch main deb-src http://deb.debian.org/debian stretch main deb http://deb.debian.org/debian stretch-updates main deb-src http://deb.debian.org/debian stretch-updates main deb http://security.debian.org/ stretch/updates main deb-src http://security.debian.org/ stretch/updates main 4) # apt update (Aqui acontece uma indexação dos pacotes que estçao disponíveis) 5) # apt-get install linux-headers-$(uname -r) gcc make git (Aqui é instalado todos os pacotes necessários para compilar e executar o software que usaremos para fazer a extração) 6) # git clone https://github.com/504ensicsLabs/LiME.git (Neste comando estamos fazendo exatamente um clone dos arquivos disponíveis no Github para compila-lo nos próximos passos) 7) # cd LiME/src (Acessamos o diretório onde se encontra os arquivos que devem ser compilados) 8) # make (Aqui acontece a compilação do binário, que é o módulo que irá fazer uma cópia de todo conteúdo da memória ram) 9) # insmod lime-*.ko "path=/root/mem.dump format=lime" ( Nesta parte o módulo é executado, observer os seguintes parâmetros: insmod: Comando para executar/instalar o módulo lime-*.ko: Utlização de regex por ser desconhecido qual a versão do kernel onde foi compilado. path=/local/onde/será/despejado/a/momória format=<consultar referências> ) 10) # rmmod lime (O módulo pode ser removido pois a memória ram já foi clonada) 11) Para finalizar vamos fazer uma pequena leitura no arquivo com o comandos stings (Testes finais) # cd ~ # strings mem.dump | less Digite / para iniciar a pesquisa dentro do arquivo digite menteb.in/apoie, em seguida dê enter... Desta forma conseguirá ver o comando executado para criar o arquivo. CentOS7(CentOS-7-x86_64-Minimal-1708.iso) 1) Como root crie o arquivo com o seguinte comando: # echo "menteb.in/apoie" > ~/teste 2) Remova de forma permanete do disco: # shred -n 3 -u ~/teste 3) yum install kernel-headers-$(uname -r) gcc make git 4) # git clone https://github.com/504ensicsLabs/LiME.git (Neste comando estamos fazendo exatamente um clone dos arquivos disponíveis no Github para compila-lo nos próximos passos) 5) # cd LiME/src (Acessamos o diretório onde se encontra os arquivos que devem ser compilados) 6) # make (Aqui acontece a compilação do binário, que é o módulo que irá fazer uma cópia de todo conteúdo da memória ram) 7) # insmod lime-*.ko "path=/root/mem.dump format=lime" ( Nesta parte o módulo é executado, observer os seguintes parâmetros: insmod: Comando para executar/instalar o módulo lime-*.ko: Utlização de regex por ser desconhecido qual a versão do kernel onde foi compilado. path=/local/onde/será/despejado/a/momória format=<consultar referências> ) 8) # rmmod lime (O módulo pode ser removido pois a memória ram já foi clonada) 9) Para finalizar vamos fazer uma pequena leitura no arquivo com o comandos stings (Testes finais) # cd ~ # strings mem.dump | less Digite / para iniciar a pesquisa dentro do arquivo digite menteb.in/apoie, em seguida dê enter... Desta forma conseguirá ver o comando executado para criar o arquivo ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ Em breve alguma coisa sobre windows... Qualquer erro que precisa ser corrigido ou dúvidas estou a disposição... Link para o comentário Compartilhar em outros sites More sharing options...
Apoiador Nibble anderson_leite Postado Janeiro 6, 2018 em 04:07 Apoiador Nibble Compartilhar Postado Janeiro 6, 2018 em 04:07 semelhante com o volatility . Muito bom Link para o comentário Compartilhar em outros sites More sharing options...
Fernando Mercês Postado Janeiro 7, 2018 em 16:23 Compartilhar Postado Janeiro 7, 2018 em 16:23 Em 1/6/2018 em 02:07, Cander disse: semelhante com o volatility . Muito bom Que eu lembre o LIME só captura e o Volatility só analisa. Viajei? Link para o comentário Compartilhar em outros sites More sharing options...
Apoiador Nibble anderson_leite Postado Janeiro 8, 2018 em 00:05 Apoiador Nibble Compartilhar Postado Janeiro 8, 2018 em 00:05 7 horas atrás, Fernando Mercês disse: Que eu lembre o LIME só captura e o Volatility só analisa. Viajei? Volatility so analisa mesmo Link para o comentário Compartilhar em outros sites More sharing options...
Leo Postado Janeiro 12, 2018 em 18:45 Autor Compartilhar Postado Janeiro 12, 2018 em 18:45 Em 1/7/2018 em 14:23, Fernando Mercês disse: Que eu lembre o LIME só captura e o Volatility só analisa. Viajei? Isso mesmo Cander, o Volatility tem somente a função de análise da memória previamente extraída. Link para o comentário Compartilhar em outros sites More sharing options...
Posts Recomendados
Arquivado
Este tópico foi arquivado e está fechado para novas respostas.