Neapdorota prieiga prie atminties yra naudinga atliekant duomenų teismo ekspertizę arba įsilaužiant į įrenginius. Kartais jums reikia momentinės atminties nuotraukos, kad galėtumėte analizuoti, kas vyksta su užrakintomis įkrovos tvarkyklėmis, gauti momentinė atminties vietos nuotrauka, kad būtų galima susekti klaidą arba tiesiog išsiaiškinti tinkamą jūsų Angry atminties vietą Paukščiai balas. Čia yra „Linux Memory Extractor“, dar žinomas kaip. LiME kriminalistika, įeina. LiME yra įkeliamas branduolio modulis, leidžiantis pasiekti visą įrenginio atminties diapazoną. Kai tik branduolio modulis įkeliamas į atmintį, iš esmės daroma momentinė nuotrauka, leidžianti labai efektyviai derinti.
Paprašiau Joe Sylve, LiME Forensics autoriaus, paaiškinti LiME pranašumus, palyginti su tradiciniais įrankiais, tokiais kaip viewmem:
Norint atsakyti į jūsų klausimus, įrankiai buvo sukurti įvairiems tikslams. LiME sukurta siekiant gauti visą fizinės atminties išdėstymą RAM, kad būtų galima atlikti teismo ekspertizę ar saugumo tyrimus. Visa tai atlieka branduolio erdvėje ir gali iškelti vaizdą į vietinę failų sistemą arba per TCP. Jis sukurtas taip, kad jums būtų kuo artimesnė fizinės atminties kopija, kartu sumažinant sąveiką su sistema.
Atrodo, kad viewmem yra vartotojo programa, kuri nuskaito virtualios atminties adresus iš atminties įrenginio, pvz., /dev/mem arba /dev/kmem, ir spausdina turinį į stdout. Nesu tikras, ar tai daro daugiau nei tiesiog naudojant dd viename iš šių įrenginių.
Tai mažiau priimtina kriminalistikoje dėl kelių priežasčių. Visų pirma, /dev/mem ir /dev/kmem palaipsniui atsisakoma ir vis daugiau įrenginių nėra pristatomi kartu su šiais įrenginiais. Antra, /dev/mem ir /dev/kmem riboja skaitymą nuo pirmųjų 896 MB RAM. Be to, įrankis sukelia kelis konteksto perjungimus tarp vartotojo ir branduolio kiekvienam nuskaitytam atminties blokui ir perrašo RAM su buferiais.
Sakyčiau, kiekviena priemonė turi savo paskirtį. Jei jums tiesiog reikia žinoti adreso, esančio pirmuosiuose 896 MB RAM, turinį ir jūsų įrenginys turi /dev/mem ir /dev/kmem ir jums nerūpi kriminaliniu požiūriu patikimo vaizdo fiksavimas, tada viewmem (arba dd) būtų naudinga. Tačiau LiME nebuvo sukurta specialiai tokiam naudojimo atvejui.
Atminties įsilaužėliams svarbiausias dalykas yra tai, kad „viewmem“ remiasi /dev/mem ir /dev/kmem prietaisai. Nuo pat /dev/mem ir /dev/kmem įrenginiai leidžia tiesiogiai pasiekti įrenginio atmintį, jie yra pažeidžiamumas. Šie „Linux“ įrenginiai palaipsniui atsisakoma, nes pastaruoju metu jie buvo daugelio išnaudojimų taikiniai. LiME ne tik pakeičia „viewmem“ įrankį, bet ir daro tai geriau.
Gamintojai atkreipia dėmesį: užrakindami funkcijas, kurių nori kūrėjai, skatinate kurti geresnius įrankius.
Šaltinis: LiME kriminalistika & Interviu su autoriumi Joe Sylve
[Vaizdo kreditas: LiME pristatymas autorius Joe Sylve]