LiME Forensics Kernel Module nyers memória pillanatképekhez

A memóriához való nyers hozzáférés hasznos az adatok kriminalisztikai vizsgálatakor vagy eszközök feltörése közben. Néha szüksége van egy pillanatképre a memóriáról, hogy elemezze, mi történik a zárolt rendszerbetöltőkkel. pillanatfelvétel egy memóriahelyről, hogy felderítsen egy hibát, vagy csak azért, hogy megtalálja az Angry megfelelő memóriahelyét Madarak pontszáma. Itt található a Linux Memory Extractor, a.k.a. LiME Forensics, bejön. A LiME egy betölthető kernelmodul, amely lehetővé teszi az eszközmemória teljes skálájának elérését. Amint a kernel modul betöltődik a memóriába, alapvetően pillanatképet készít, ami nagyon hatékony hibakeresést tesz lehetővé.

Megkértem Joe Sylve-ot, a LiME Forensics szerzőjét, hogy magyarázza el a LiME előnyeit a hagyományos eszközökkel, például a viewmemmel szemben:

Kérdéseinek megválaszolása érdekében az eszközöket különböző felhasználási célokra tervezték. A LiME-t úgy tervezték, hogy megszerezze a RAM fizikai memóriaelrendezésének teljes kiíratását igazságügyi elemzés vagy biztonsági kutatás céljából. Mindezt a kerneltérben teszi, és képes kiíratni egy képet a helyi fájlrendszerbe vagy TCP-n keresztül. Úgy tervezték, hogy a lehető legközelebb álljon a fizikai memória másolatához, miközben minimálisra csökkenti a rendszerrel való interakciót.

Úgy tűnik, hogy a viewmem egy felhasználói program, amely beolvassa a virtuális memóriacímek tartományát egy memóriaeszközről, például a /dev/mem vagy a /dev/kmem, és kinyomtatja a tartalmat az stdout-ba. Nem vagyok benne biztos, hogy többet tesz, mint a dd egyszerű használata egy adott eszközön.

Ez több okból is kevésbé elfogadható a kriminalisztika területén. Először is, a /dev/mem és a /dev/kmem fokozatosan megszűnik, és egyre több eszközt nem szállítanak ki ezekkel az eszközökkel. Másodszor, a /dev/mem és a /dev/kmem az első 896 MB RAM-ból való olvasást korlátozza. Ezenkívül az eszköz több kontextusváltást okoz a userland és a kernelland között minden egyes beolvasott memóriablokknál, és felülírja a RAM-ot a puffereivel.

Azt mondanám, minden eszköznek megvan a maga haszna. Ha csak egy olyan cím tartalmát szeretné tudni, amely az első 896 MB RAM-on belül van, és az eszköz /dev/mem és /dev/kmem és nem törődsz a törvényszékileg hangos kép rögzítésével, akkor a viewmem (vagy dd) hasznos. A LiME-t azonban nem kifejezetten erre a felhasználási esetre tervezték.

A legfontosabb dolog a memóriahackerek számára az, hogy a viewmem a /dev/mem és /dev/kmem eszközöket. Mivel a /dev/mem és /dev/kmem eszközök közvetlen hozzáférést tesznek lehetővé az eszköz memóriájához, ezek sebezhetőséget jelentenek. Ezeket a Linux-eszközöket fokozatosan kivonják a forgalomból, mivel az utóbbi időben számos kizsákmányolás célpontjai voltak. A LiME nemcsak helyettesíti a viewmem segédprogramot, hanem jobban is teszi.

A gyártók tudomásul veszik: A fejlesztők által kívánt funkciók zárolásával jobb eszközök fejlesztését segíti elő.

Forrás: LiME Forensics & Interjú Joe Sylve szerzővel

[A kép forrása: LiME bemutató szerző: Joe Sylve]