גישה גולמית לזיכרון שימושית בזמן ביצוע זיהוי פלילי של נתונים או בזמן פריצה למכשירים. לפעמים אתה צריך תמונת מצב של זיכרון כדי להיות מסוגל לנתח מה קורה עם מטעני אתחול נעולים, לקבל תמונת מצב של מיקום זיכרון כדי לאתר באג, או סתם כדי להבין את מיקום הזיכרון הנכון של ה-Angry שלך ציון ציפורים. זה המקום שבו Linux Memory Extractor, a.k.a. LiME Forensics, מגיע ב. LiME הוא מודול ליבה הניתן לטעינה המאפשר לך גישה למגוון המלא של זיכרון המכשיר. ברגע שמודול הליבה נטען לזיכרון, הוא בעצם לוקח תמונת מצב, מה שמאפשר איתור באגים יעיל מאוד.
ביקשתי מג'ו סילב, המחבר של LiME Forensics להסביר את היתרונות של LiME על פני כלים מסורתיים כמו viewmem:
כדי לענות על שאלותיך, הכלים עוצבו עם שימושים שונים במטרה. LiME נועד לרכוש dump מלא של פריסת הזיכרון הפיזי של זיכרון RAM לניתוח משפטי או מחקר אבטחה. זה עושה את הכל בחלל ליבה ויכול לזרוק תמונה למערכת הקבצים המקומית או דרך TCP. זה נועד לתת לך עותק קרוב ככל האפשר של הזיכרון הפיזי, תוך צמצום האינטראקציה שלו עם המערכת.
נראה ש-viewmem היא תוכנית Userland שקוראת מגוון של כתובות זיכרון וירטואלי מהתקן זיכרון, כגון /dev/mem או /dev/kmem ומדפיסה את התוכן ל-stdout. אני לא בטוח שזה עושה יותר מאשר פשוט להשתמש ב-dd במכשיר כזה.
זה פחות מקובל בזיהוי פלילי מכמה סיבות. קודם כל, /dev/mem ו-/dev/kmem מופסקים יותר ויותר מכשירים לא נשלחים עם המכשירים האלה. שנית, /dev/mem ו-/dev/kmem מגבילים אותך לקריאה מ-896MB הראשונים של זיכרון RAM. כמו כן, הכלי גורם למספר מעברי הקשר בין Userland ל-kernelland עבור כל בלוק של קריאה של זיכרון והוא מחליף את זיכרון ה-RAM במאגרים שלו.
הייתי אומר שלכל כלי יש את השימוש שלו. אם אתה רק צריך לדעת את התוכן של כתובת שנמצאת בתוך 896MB הראשונים של זיכרון RAM ולמכשיר שלך יש /dev/mem ו-/dev/kmem ולא אכפת לך מללכוד תמונה תקינה מבחינה משפטית, אז viewmem (או dd) יהיה מוֹעִיל. עם זאת, LiME לא תוכנן במיוחד עבור מקרה השימוש הזה.
הדבר החשוב ביותר עבורכם האקרים לזיכרון בחוץ, הוא ש-viewmem מסתמכת על /dev/mem ו /dev/kmem מכשירים. מאז /dev/mem ו /dev/kmem התקנים מאפשרים גישה ישירה לזיכרון המכשיר, הם מהווים פגיעות. מכשירי לינוקס אלה נמצאים בהפסקה, מכיוון שהם היו יעדים לניצול מרובים לאחרונה. LiME לא רק מחליף את כלי השירות viewmem, הוא עושה את זה טוב יותר.
יצרנים שימו לב: על ידי נעילת תכונות שהמפתחים רוצים, אתם מקדמים פיתוח של כלים טובים יותר.
מָקוֹר: LiME Forensics & ראיונות עם הסופר ג'ו סילב
[קרדיט תמונה: מצגת LiME מאת ג'ו סילב]