Akses mentah ke memori berguna saat melakukan forensik data atau saat meretas perangkat. Terkadang Anda memerlukan snapshot memori untuk dapat menganalisis apa yang terjadi dengan bootloader yang terkunci, dapatkan a cuplikan lokasi memori untuk melacak bug, atau hanya untuk mengetahui lokasi memori yang tepat untuk Angry Anda Skor burung. Di sinilah Linux Memory Extractor, alias. Forensik LiME, masuk. LiME adalah modul kernel yang dapat dimuat yang memungkinkan Anda mengakses seluruh memori perangkat. Segera setelah modul kernel dimuat ke dalam memori, pada dasarnya modul tersebut mengambil snapshot, memungkinkan proses debug yang sangat efisien.
Saya meminta Joe Sylve, penulis LiME Forensics untuk menjelaskan manfaat LiME dibandingkan alat tradisional seperti viewmem:
Untuk menjawab pertanyaan Anda, alat tersebut dirancang dengan tujuan penggunaan yang berbeda-beda. LiME dirancang untuk memperoleh seluruh tata letak memori fisik RAM untuk analisis forensik atau penelitian keamanan. Ia melakukan semuanya di ruang kernel dan dapat membuang gambar ke sistem file lokal atau melalui TCP. Ini dirancang untuk memberi Anda salinan memori fisik sedekat mungkin, sekaligus meminimalkan interaksinya dengan sistem.
Tampaknya viewmem adalah program userland yang membaca serangkaian alamat memori virtual dari perangkat memori, seperti /dev/mem atau /dev/kmem dan mencetak isinya ke stdout. Saya tidak yakin apakah ini lebih dari sekadar menggunakan dd pada salah satu perangkat tersebut.
Hal ini kurang dapat diterima dalam forensik karena beberapa alasan. Pertama-tama, /dev/mem dan /dev/kmem dihapus secara bertahap dan semakin banyak perangkat yang tidak dikirimkan bersama perangkat tersebut. Kedua, /dev/mem dan /dev/kmem membatasi Anda untuk membaca dari RAM 896MB pertama. Selain itu, alat ini menyebabkan beberapa peralihan konteks antara userland dan kernelland untuk setiap blok memori yang dibaca dan menimpa RAM dengan buffernya.
Menurut saya, setiap alat memiliki kegunaannya masing-masing. Jika Anda hanya perlu mengetahui isi alamat yang ada dalam 896MB RAM pertama dan perangkat Anda memilikinya /dev/mem dan /dev/kmem dan Anda tidak peduli tentang pengambilan gambar yang terdengar secara forensik, maka viewmem (atau dd) akan menjadi berguna. Namun, LiME tidak dirancang khusus untuk kasus penggunaan tersebut.
Hal yang paling penting, bagi Anda para peretas memori di luar sana, adalah viewmem bergantung pada /dev/mem Dan /dev/kmem perangkat. Sejak itu /dev/mem Dan /dev/kmem perangkat mengizinkan akses langsung ke memori perangkat, ini merupakan kerentanan. Perangkat Linux ini sedang dihapuskan karena telah menjadi target berbagai eksploitasi akhir-akhir ini. LiME tidak hanya menggantikan utilitas viewmem, tetapi juga melakukannya dengan lebih baik.
Produsen memperhatikan: Dengan mengunci fitur yang diinginkan pengembang, Anda mendorong pengembangan alat yang lebih baik.
Sumber: Forensik LiME & Wawancara dengan Penulis Joe Sylve
[Kredit Gambar: Presentasi Kapur oleh Joe Sylve]