डेटा फोरेंसिक करते समय या उपकरणों को हैक करते समय मेमोरी तक कच्ची पहुंच उपयोगी होती है। कभी-कभी आपको लॉक्ड बूटलोडर्स के साथ क्या हो रहा है इसका विश्लेषण करने में सक्षम होने के लिए मेमोरी के स्नैपशॉट की आवश्यकता होती है, एक प्राप्त करें किसी बग को ट्रैक करने के लिए, या बस अपने एंग्री के उचित मेमोरी स्थान का पता लगाने के लिए मेमोरी स्थान का स्नैपशॉट पक्षी स्कोर. यह वह जगह है जहां लिनक्स मेमोरी एक्सट्रैक्टर, a.k.a. LiME फोरेंसिक, अंदर आता है। LiME एक लोड करने योग्य कर्नेल मॉड्यूल है जो आपको डिवाइस मेमोरी की पूरी रेंज तक पहुंचने की अनुमति देता है। जैसे ही कर्नेल मॉड्यूल को मेमोरी में लोड किया जाता है, यह मूल रूप से एक स्नैपशॉट लेता है, जिससे बहुत कुशल डिबगिंग की अनुमति मिलती है।
मैंने लीएमई फ़ोरेंसिक्स के लेखक जो सिल्वे से व्यूमेम जैसे पारंपरिक उपकरणों की तुलना में लीएमई के लाभों को समझाने के लिए कहा:
आपके प्रश्नों का उत्तर देने के लिए, उपकरण विभिन्न प्रयोजनों के लिए डिज़ाइन किए गए थे। LiME को फोरेंसिक विश्लेषण या सुरक्षा अनुसंधान के लिए RAM के भौतिक मेमोरी लेआउट का पूरा डंप प्राप्त करने के लिए डिज़ाइन किया गया है। यह यह सब कर्नेल स्पेस में करता है और एक छवि को स्थानीय फ़ाइल सिस्टम या टीसीपी पर डंप कर सकता है। इसे सिस्टम के साथ इसके इंटरेक्शन को कम करते हुए, आपको भौतिक मेमोरी की यथासंभव नज़दीकी प्रतिलिपि प्रदान करने के लिए डिज़ाइन किया गया है।
ऐसा प्रतीत होता है कि व्यूमेम एक यूजरलैंड प्रोग्राम है जो मेमोरी डिवाइस से वर्चुअल मेमोरी एड्रेस की एक श्रृंखला को पढ़ता है, जैसे कि /dev/mem या /dev/kmem और सामग्री को stdout पर प्रिंट करता है। मुझे यकीन नहीं है कि यह उन डिवाइसों पर केवल dd का उपयोग करने से अधिक कुछ करता है।
यह कई कारणों से फोरेंसिक में कम स्वीकार्य है। सबसे पहले, /dev/mem और /dev/kmem को चरणबद्ध तरीके से समाप्त किया जा रहा है और अधिक से अधिक डिवाइस उन डिवाइसों के साथ शिपिंग नहीं कर रहे हैं। दूसरे, /dev/mem और /dev/kmem आपको पहले 896MB RAM से पढ़ने तक सीमित करते हैं। इसके अलावा, टूल मेमोरी रीड के प्रत्येक ब्लॉक के लिए यूजरलैंड और कर्नेललैंड के बीच कई संदर्भ स्विच का कारण बन रहा है और इसके बफ़र्स के साथ रैम को ओवरराइट कर रहा है।
मैं कहूंगा कि प्रत्येक उपकरण का अपना उपयोग है। यदि आपको किसी ऐसे पते की सामग्री जानने की आवश्यकता है जो पहले 896एमबी रैम के भीतर है और आपके डिवाइस में है /dev/mem और /dev/kmem और आपको फोरेंसिक रूप से ध्वनि छवि कैप्चर करने की परवाह नहीं है, तो व्यूमेम (या dd) होगा उपयोगी। हालाँकि, LiME को विशेष रूप से उस उपयोग के मामले के लिए डिज़ाइन नहीं किया गया था।
आपके लिए मेमोरी हैकर्स के लिए सबसे महत्वपूर्ण बात यह है कि व्यूमेम पर निर्भर करता है /dev/mem और /dev/kmem उपकरण। के बाद से /dev/mem और /dev/kmem डिवाइस डिवाइस मेमोरी तक सीधी पहुंच की अनुमति देते हैं, वे एक भेद्यता हैं। इन लिनक्स उपकरणों को चरणबद्ध तरीके से समाप्त किया जा रहा है, क्योंकि हाल ही में वे कई शोषणों का लक्ष्य रहे हैं। LiME न केवल व्यूमेम उपयोगिता को प्रतिस्थापित करता है, बल्कि इसे बेहतर करता है।
निर्माता ध्यान दें: डेवलपर्स जो सुविधाएँ चाहते हैं उन्हें लॉक करके, आप बेहतर टूल के विकास को बढ़ावा देते हैं।
स्रोत: LiME फोरेंसिक और लेखक जो सिल्वे के साथ साक्षात्कार
[छवि क्रेडिट: LiME प्रस्तुति जो सिल्वे द्वारा]