Neobrađeni pristup memoriji koristan je tijekom izvođenja forenzike podataka ili tijekom hakiranja uređaja. Ponekad vam je potrebna snimka memorije da biste mogli analizirati što se događa sa zaključanim programima za podizanje sustava, nabavite snimka memorijske lokacije da biste pronašli grešku ili samo da biste otkrili odgovarajuću memorijsku lokaciju vašeg Angry Rezultat ptica. Ovo je mjesto gdje Linux Memory Extractor, a.k.a. LiME forenzika, ulazi. LiME je modul kernela koji se može učitavati i koji vam omogućuje pristup cijelom rasponu memorije uređaja. Čim se kernel modul učita u memoriju, on zapravo pravi snimku, što omogućuje vrlo učinkovito uklanjanje pogrešaka.
Zamolio sam Joea Sylvea, autora LiME Forensics da objasni prednosti LiME-a u odnosu na tradicionalne alate poput viewmema:
Kako bismo odgovorili na vaša pitanja, alati su dizajnirani s različitim namjenama. LiME je dizajniran za dobivanje potpune kopije rasporeda fizičke memorije RAM-a za forenzičku analizu ili sigurnosna istraživanja. Sve to radi u prostoru kernela i može ispisati sliku u lokalni datotečni sustav ili preko TCP-a. Dizajniran je kako bi vam pružio što je moguće sličniju kopiju fizičke memorije, dok je njezina interakcija sa sustavom minimalizirana.
Čini se da je viewmem korisnički program koji čita niz adresa virtualne memorije s memorijskog uređaja, poput /dev/mem ili /dev/kmem i ispisuje sadržaj u stdout. Nisam siguran da čini više od jednostavnog korištenja dd na jednom od tih uređaja.
To je manje prihvatljivo u forenzici iz nekoliko razloga. Prije svega, /dev/mem i /dev/kmem se postupno ukidaju i sve više i više uređaja se ne isporučuje s tim uređajima. Drugo, /dev/mem i /dev/kmem vas ograničavaju na čitanje s prvih 896MB RAM-a. Također, alat uzrokuje nekoliko promjena konteksta između korisničkog polja i polja jezgre za svaki blok čitanja memorije i prepisuje RAM svojim međuspremnicima.
Rekao bih da svaki alat ima svoju namjenu. Ako samo trebate znati sadržaj adrese koja se nalazi unutar prvih 896 MB RAM-a i vaš uređaj ima /dev/mem i /dev/kmem i nije vam stalo do snimanja forenzički zvučne slike, tada bi viewmem (ili dd) bio koristan. Međutim, LiME nije dizajniran posebno za taj slučaj upotrebe.
Najvažnija stvar, za vas hakere memorije, je da se viewmem oslanja na /dev/mem i /dev/kmem uređaja. Budući da je /dev/mem i /dev/kmem uređaji omogućuju izravan pristup memoriji uređaja, oni su ranjivost. Ovi Linux uređaji se postupno ukidaju jer su u zadnje vrijeme bili meta višestrukih napada. LiME ne samo da zamjenjuje uslužni program viewmem, on to radi bolje.
Proizvođači uzmite u obzir: zaključavanjem značajki koje programeri žele promovirate razvoj boljih alata.
Izvor: LiME forenzika & Interview s autorom Joeom Sylveom
[Kredit za sliku: LiME prezentacija autor Joe Sylve]