Neapstrādāta piekļuve atmiņai ir noderīga, veicot datu kriminālistikas vai ierīču uzlaušanu. Dažreiz jums ir nepieciešams atmiņas momentuzņēmums, lai varētu analizēt, kas notiek ar bloķētiem sāknēšanas ielādētājiem, atmiņas vietas momentuzņēmums, lai izsekotu kļūdu vai vienkārši noskaidrotu pareizo jūsu Angry atmiņas vietu Putnu rezultāts. Šeit ir Linux Memory Extractor, a.k.a. LiME kriminālistika, ienāk. LiME ir ielādējams kodola modulis, kas ļauj piekļūt visam ierīces atmiņas klāstam. Tiklīdz kodola modulis tiek ielādēts atmiņā, tas pamatā veic momentuzņēmumu, ļaujot veikt ļoti efektīvu atkļūdošanu.
Es palūdzu Džo Silvem, LiME Forensics autoram, izskaidrot LiME priekšrocības salīdzinājumā ar tradicionālajiem rīkiem, piemēram, viewmem:
Lai atbildētu uz jūsu jautājumiem, rīki tika izstrādāti dažādiem mērķiem. LiME ir paredzēts, lai iegūtu pilnu RAM fiziskās atmiņas izkārtojumu, lai veiktu kriminālistikas analīzi vai drošības pētījumus. Tas viss tiek darīts kodola telpā un var izmest attēlu lokālajā failu sistēmā vai izmantojot TCP. Tas ir izstrādāts, lai nodrošinātu pēc iespējas tuvāk fiziskās atmiņas kopijai, vienlaikus samazinot tās mijiedarbību ar sistēmu.
Šķiet, ka viewmem ir lietotājprogramma, kas nolasa virkni virtuālās atmiņas adrešu no atmiņas ierīces, piemēram, /dev/mem vai /dev/kmem, un izdrukā saturu uz stdout. Es neesmu pārliecināts, ka tas dara vairāk nekā tikai dd izmantošanu vienā no šīm ierīcēm.
Tas ir mazāk pieņemams kriminālistikā vairāku iemeslu dēļ. Pirmkārt, /dev/mem un /dev/kmem tiek pakāpeniski izņemti, un arvien vairāk ierīču netiek piegādātas kopā ar šīm ierīcēm. Otrkārt, /dev/mem un /dev/kmem ierobežo lasīšanu no pirmajiem 896 MB RAM. Turklāt rīks izraisa vairākus konteksta slēdžus starp lietotāja zemi un kodolu katram nolasītajam atmiņas blokam un pārraksta RAM ar tā buferiem.
Es teiktu, ka katram instrumentam ir savs pielietojums. Ja jums vienkārši jāzina adreses saturs, kas atrodas pirmajos 896 MB RAM, un jūsu ierīcei ir /dev/mem un /dev/kmem un jums ir vienalga par kriminālistikas skaņu attēla tveršanu, tad viewmem (vai dd) būtu noderīga. Tomēr LiME nebija īpaši izstrādāts šim lietošanas gadījumam.
Atmiņas hakeriem vissvarīgākais ir tas, ka viewmem paļaujas uz /dev/mem un /dev/kmem ierīces. Kopš /dev/mem un /dev/kmem ierīces ļauj tieši piekļūt ierīces atmiņai, tās ir ievainojamība. Šīs Linux ierīces tiek pakāpeniski izņemtas no apgrozības, jo pēdējā laikā tās ir bijušas vairāku ekspluatāciju mērķi. LiME ne tikai aizstāj viewmem utilītu, bet arī dara to labāk.
Ražotāji ņem vērā: bloķējot izstrādātāju vēlamās funkcijas, jūs veicināsit labāku rīku izstrādi.
Avots: LiME kriminālistika & Intervija ar autoru Džo Silvu
[Attēla kredīts: LiME prezentācija autors Džo Silvs]