Ir para conteúdo
Leo

Aquisição de memória física(RAM) em GNU/Linux

Posts Recomendados

Bom dia, boa tarde boa noite srs e sras.

Fiz um pequeno tutorial técnico e bem objetivo sobre extração do conteúdo da memória ram de sistemas operacionais GNU/Linux,
CentOS 7 e Debian 9.3 para ser mais específico.

 

Para criar o tutorial realizei dois laboratórios em máquinas virtuais utilizando o VirtualBox 5.1.30 r118389 (Qt5.7.1).

 

Para os dois laboratórios utilizei as ISOs mínimas para ter certeza de de estar instalando apenas os pacotes necessários para executar o módulo LiME.
e sobreescrever o mínimo possível da memória ram para que não prejudique analises posteriores.

 

Debian 9 (debian-9.3.0-amd64-xfce-CD-1.iso)

1) Como root crie o arquivo com o seguinte comando:
# echo "menteb.in/apoie" > ~/teste

2) Remova de forma permanete do disco:
# shred -n 3 -u ~/teste

3) Adicione o seguinte conteúdo dentro do arquivo /etc/apt/source.list

(Neste ponto será adicionado uma lista de links onde o OS conseguirá encontrar os pacotes que iremos mandar instalar no próximo passo)

deb http://deb.debian.org/debian stretch main
deb-src http://deb.debian.org/debian stretch main

deb http://deb.debian.org/debian stretch-updates main
deb-src http://deb.debian.org/debian stretch-updates main

deb http://security.debian.org/ stretch/updates main
deb-src http://security.debian.org/ stretch/updates main

4) # apt update

(Aqui acontece uma indexação dos pacotes que estçao disponíveis)

5) # apt-get install linux-headers-$(uname -r) gcc make git

(Aqui é instalado todos os pacotes necessários para compilar e executar o software que usaremos para fazer a extração)

6) # git clone https://github.com/504ensicsLabs/LiME.git

(Neste comando estamos fazendo exatamente um clone dos arquivos disponíveis no Github para compila-lo nos próximos passos)

7) # cd LiME/src

(Acessamos o diretório onde se encontra os arquivos que devem ser compilados)

8) # make

(Aqui acontece a compilação do binário, que é o módulo que irá fazer uma cópia de todo conteúdo da memória ram)

9) # insmod lime-*.ko "path=/root/mem.dump format=lime"

(

Nesta parte o módulo é executado, observer os seguintes parâmetros:

insmod: Comando para executar/instalar o módulo

lime-*.ko: Utlização de regex por ser desconhecido qual a versão do kernel onde foi compilado.

path=/local/onde/será/despejado/a/momória

format=<consultar referências>

)

10) # rmmod lime

(O módulo pode ser removido pois a memória ram já foi clonada)

11) Para finalizar vamos fazer uma pequena leitura no arquivo com o comandos stings

(Testes finais)

# cd ~

# strings mem.dump | less

Digite / para iniciar a pesquisa dentro do arquivo

digite menteb.in/apoie, em seguida dê enter...

Desta forma conseguirá ver o comando executado para criar o arquivo.

 

CentOS7(CentOS-7-x86_64-Minimal-1708.iso)

1) Como root crie o arquivo com o seguinte comando:
# echo "menteb.in/apoie" > ~/teste

2) Remova de forma permanete do disco:
# shred -n 3 -u ~/teste

3) yum install kernel-headers-$(uname -r) gcc make git

4) # git clone https://github.com/504ensicsLabs/LiME.git

(Neste comando estamos fazendo exatamente um clone dos arquivos disponíveis no Github para compila-lo nos próximos passos)

5) # cd LiME/src

(Acessamos o diretório onde se encontra os arquivos que devem ser compilados)

6) # make

(Aqui acontece a compilação do binário, que é o módulo que irá fazer uma cópia de todo conteúdo da memória ram)

7) # insmod lime-*.ko "path=/root/mem.dump format=lime"

(

Nesta parte o módulo é executado, observer os seguintes parâmetros:

insmod: Comando para executar/instalar o módulo

lime-*.ko: Utlização de regex por ser desconhecido qual a versão do kernel onde foi compilado.

path=/local/onde/será/despejado/a/momória

format=<consultar referências>

)

8) # rmmod lime

(O módulo pode ser removido pois a memória ram já foi clonada)

9) Para finalizar vamos fazer uma pequena leitura no arquivo com o comandos stings

(Testes finais)

# cd ~

# strings mem.dump | less

Digite / para iniciar a pesquisa dentro do arquivo

digite menteb.in/apoie, em seguida dê enter...

Desta forma conseguirá ver o comando executado para criar o arquivo

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Em breve alguma coisa sobre windows...

Qualquer erro que precisa ser corrigido ou dúvidas estou a disposição...

  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites
7 horas atrás, Fernando Mercês disse:

Que eu lembre o LIME só captura e o Volatility só analisa. Viajei?

Volatility so analisa mesmo :D

Compartilhar este post


Link para o post
Compartilhar em outros sites
Em 1/7/2018 em 14:23, Fernando Mercês disse:

Que eu lembre o LIME só captura e o Volatility só analisa. Viajei?

Isso mesmo Cander, o Volatility tem somente a função de análise da memória previamente extraída.

Editado por Leo

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar Agora


  • Quem Está Navegando   0 membros estão online

    Nenhum usuário registrado visualizando esta página.

×