Raaka muistin käyttö on hyödyllistä suoritettaessa tietojen rikosteknisiä tietoja tai hakkeroitaessa laitteita. Joskus tarvitset tilannekuvan muistista voidaksesi analysoida, mitä lukituilla käynnistyslataimilla tapahtuu. tilannekuva muistipaikasta vian jäljittämiseksi tai vain Angryn oikean muistipaikan selvittämiseksi Linnut pisteet. Tässä on Linux Memory Extractor, a.k.a. LiME Forensics, tulee sisään. LiME on ladattava ydinmoduuli, jonka avulla voit käyttää kaikkia laitteen muistia. Heti kun ydinmoduuli ladataan muistiin, se ottaa periaatteessa tilannevedoksen, mikä mahdollistaa erittäin tehokkaan virheenkorjauksen.
Pyysin LiME Forensicsin kirjoittajaa Joe Sylveä selittämään LiME: n edut perinteisiin työkaluihin, kuten viewmemiin verrattuna:
Vastataksesi kysymyksiisi työkalut on suunniteltu erilaisiin käyttötarkoituksiin. LiME on suunniteltu hankkimaan koko RAM-muistin fyysisen muistin asettelu rikosteknistä analysointia tai turvallisuustutkimusta varten. Se tekee kaiken ydintilassa ja voi tyhjentää kuvan joko paikalliseen tiedostojärjestelmään tai TCP: n kautta. Se on suunniteltu antamaan sinulle mahdollisimman läheinen kopio fyysisestä muistista ja minimoimalla sen vuorovaikutus järjestelmän kanssa.
Näyttää siltä, että viewmem on käyttäjämaaohjelma, joka lukee joukon virtuaalimuistiosoitteita muistilaitteesta, kuten /dev/mem tai /dev/kmem, ja tulostaa sisällön stdout-tiedostoon. En ole varma, tekeekö se muutakin kuin pelkkä dd: n käyttäminen näissä laitteissa.
Tämä on vähemmän hyväksyttävää oikeuslääketieteessä useista syistä. Ensinnäkin /dev/mem ja /dev/kmem poistetaan käytöstä, ja yhä useammat laitteet eivät toimiteta näiden laitteiden mukana. Toiseksi /dev/mem ja /dev/kmem rajoittavat lukemisen ensimmäisestä 896 megatavusta RAM-muistista. Lisäksi työkalu aiheuttaa useita kontekstin vaihtoja userlandin ja kernellandin välillä jokaiselle luettavalle muistilohkolle ja korvaa RAM-muistia sen puskureineen.
Sanoisin, että jokaiselle työkalulle on käyttötarkoituksensa. Jos haluat vain tietää osoitteen sisällön, joka on RAM-muistin ensimmäisen 896 megatavun sisällä ja laitteessasi on /dev/mem ja /dev/kmem ja et välitä rikosteknisesti terveen kuvan kaappaamisesta, niin viewmem (tai dd) olisi hyödyllinen. LiME: tä ei kuitenkaan suunniteltu erityisesti tähän käyttötapaukseen.
Tärkeintä teille muistihakkereille on, että viewmem luottaa siihen /dev/mem ja /dev/kmem laitteet. Koska /dev/mem ja /dev/kmem laitteet mahdollistavat suoran pääsyn laitteen muistiin, ne ovat haavoittuvuus. Nämä Linux-laitteet poistetaan käytöstä, koska ne ovat olleet useiden hyväksikäyttöjen kohteena viime aikoina. LiME ei vain korvaa viewmem-apuohjelmaa, vaan tekee sen paremmin.
Valmistajat ottavat huomioon: Lukitsemalla kehittäjien toivomat ominaisuudet edistät parempien työkalujen kehittämistä.
Lähde: LiME Forensics & Haastattelu kirjailija Joe Sylven kanssa
[Kuvan luotto: LiME-esitys Kirjailija: Joe Sylve]