Nezpracovaný přístup k paměti je užitečný při provádění datové forenzní analýzy nebo při hackování zařízení. Někdy potřebujete snímek paměti, abyste mohli analyzovat, co se děje se zamčenými bootloadery, získejte a snímek umístění paměti, abyste mohli vystopovat chybu nebo jen zjistit správné umístění paměti vašeho Angry Ptáci skóre. To je místo, kde Linux Memory Extractor, a.k.a. LiME Forensics, přichází v. LiME je zaváděcí modul jádra, který vám umožňuje přístup k celé řadě paměti zařízení. Jakmile je modul jádra načten do paměti, v podstatě pořídí snímek, což umožňuje velmi efektivní ladění.
Požádal jsem Joea Sylvea, autora LiME Forensics, aby vysvětlil výhody LiME oproti tradičním nástrojům, jako je viewmem:
Abychom odpověděli na vaše otázky, nástroje byly navrženy s různým účelem použití. LiME je navržen tak, aby získal úplný výpis rozložení fyzické paměti RAM pro forenzní analýzu nebo bezpečnostní výzkum. Dělá to všechno v prostoru jádra a může vypsat obraz buď do místního souborového systému nebo přes TCP. Je navržen tak, aby vám poskytl co nejblíže kopii fyzické paměti a zároveň minimalizoval její interakci se systémem.
Zdá se, že viewmem je uživatelský program, který čte rozsah adres virtuální paměti z paměťového zařízení, jako je /dev/mem nebo /dev/kmem, a tiskne obsah na stdout. Nejsem si jistý, že to dělá víc než pouhé použití dd na jednom z těchto zařízení.
To je ve forenzní praxi méně přijatelné z několika důvodů. Za prvé, /dev/mem a /dev/kmem jsou postupně vyřazovány a stále více zařízení se s těmito zařízeními nedodává. Za druhé, /dev/mem a /dev/kmem vás omezují na čtení z prvních 896 MB RAM. Nástroj také způsobuje několik přepnutí kontextu mezi uživatelskou zemí a jádrem pro každý blok čtení paměti a přepisuje RAM svými vyrovnávacími pamětmi.
Řekl bych, že každý nástroj má své využití. Pokud potřebujete znát obsah adresy, která je v rámci prvních 896 MB paměti RAM a vaše zařízení má /dev/mem a /dev/kmem a nestaráte se o zachycení forenzně zvukového obrazu, pak by viewmem (nebo dd) byl užitečný. LiME však nebyl navržen speciálně pro tento případ použití.
Nejdůležitější pro vás paměťové hackery je, že viewmem spoléhá na /dev/mem a /dev/kmem zařízení. Vzhledem k tomu, /dev/mem a /dev/kmem zařízení umožňují přímý přístup do paměti zařízení, jsou zranitelností. Tato linuxová zařízení jsou postupně vyřazována, protože byla v poslední době cílem mnoha exploitů. LiME nejen nahrazuje utilitu viewmem, ale dělá to lépe.
Výrobci berou na vědomí: Uzamčením funkcí, které vývojáři chtějí, podporujete vývoj lepších nástrojů.
Zdroj: LiME Forensics & Rozhovor s autorem Joe Sylvem
[Obrazový kredit: Prezentace LiME od Joe Sylve]