Töötlemata juurdepääs mälule on kasulik andmete kohtuekspertiisi tegemisel või seadmete häkkimisel. Mõnikord on teil vaja mälupilti, et saaksite lukustatud alglaaduritega toimuvat analüüsida, hankige hetktõmmis mälu asukohast, et leida viga või lihtsalt välja selgitada oma Angry õige mälukoht Linnud hinded. See on koht, kus Linux Memory Extractor, a.k.a. LiME kohtuekspertiisi, tuleb sisse. LiME on laaditav kerneli moodul, mis võimaldab teil pääseda juurde kogu seadme mälule. Niipea kui kerneli moodul mällu laaditakse, teeb see põhimõtteliselt hetktõmmise, mis võimaldab väga tõhusat silumist.
Palusin LiME Forensicsi autoril Joe Sylvel selgitada LiME eeliseid võrreldes traditsiooniliste tööriistadega, nagu viewmem:
Teie küsimustele vastamiseks töötati tööriistad välja erineva kasutusega. LiME on loodud RAM-i füüsilise mälu paigutuse täielikuks hankimiseks kohtuekspertiisi või turvauuringute jaoks. See teeb seda kõike kerneliruumis ja võib pildi kopeerida kas kohalikku failisüsteemi või üle TCP. See on loodud nii, et see annaks teile võimalikult lähedase füüsilise mälu koopia, minimeerides samal ajal selle koostoimet süsteemiga.
Näib, et viewmem on kasutajamaa programm, mis loeb mäluseadmelt (nt /dev/mem või /dev/kmem) erinevaid virtuaalmälu aadresse ja prindib sisu stdout. Ma ei ole kindel, kas see teeb rohkem kui lihtsalt dd kasutamine ühes nendes seadmetes.
See on kohtuekspertiisi jaoks vähem vastuvõetav mitmel põhjusel. Esiteks eemaldatakse /dev/mem ja /dev/kmem järk-järgult ning üha rohkem seadmeid ei tarnita nende seadmetega. Teiseks piiravad /dev/mem ja /dev/kmem lugemist esimesest 896 MB RAM-ist. Samuti põhjustab tööriist iga loetud mäluploki jaoks mitu kontekstivahetust kasutajamaa ja kernellandi vahel ning kirjutab RAM-i oma puhvritega üle.
Ma ütleksin, et igal tööriistal on oma kasutusala. Kui teil on lihtsalt vaja teada aadressi sisu, mis jääb esimese 896 MB RAM-i ja teie seadmel on /dev/mem ja /dev/kmem ning teid ei huvita kohtuekspertiisiliselt usaldusväärse pildi jäädvustamine, siis oleks viewmem (või dd) kasulik. LiME ei olnud aga spetsiaalselt selle kasutusjuhtumi jaoks loodud.
Teie mäluhäkkerite jaoks on kõige olulisem see, et viewmem tugineb sellele /dev/mem ja /dev/kmem seadmeid. Alates /dev/mem ja /dev/kmem seadmed võimaldavad otsest juurdepääsu seadme mälule, on need haavatavus. Nendest Linuxi seadmetest loobutakse järk-järgult, kuna need on olnud viimasel ajal mitme ärakasutamise objektiks. LiME mitte ainult ei asenda viewmemi utiliiti, vaid teeb seda paremini.
Tootjad võtavad teadmiseks: arendajate soovitud funktsioonide lukustamisega edendate paremate tööriistade väljatöötamist.
Allikas: LiME kohtuekspertiisi & Intervjuu autori Joe Sylve'iga
[Pildi krediit: LiME esitlus autor Joe Sylve]