Neobdelani dostop do pomnilnika je uporaben pri izvajanju podatkovne forenzike ali med vdiranjem v naprave. Včasih potrebujete posnetek pomnilnika, da lahko analizirate, kaj se dogaja z zaklenjenimi zagonskimi programi, dobite posnetek pomnilniške lokacije, da izsledite napako ali samo ugotovite pravilno pomnilniško lokacijo vašega Angryja Rezultat za ptice. Tukaj je Linux Memory Extractor, a.k.a. Forenzika LiME, vstopi. LiME je modul jedra, ki ga je mogoče naložiti in omogoča dostop do celotnega obsega pomnilnika naprave. Takoj ko se modul jedra naloži v pomnilnik, v bistvu naredi posnetek, kar omogoča zelo učinkovito odpravljanje napak.
Prosil sem Joeja Sylvea, avtorja LiME Forensics, da pojasni prednosti LiME v primerjavi s tradicionalnimi orodji, kot je viewmem:
Da bi odgovorili na vaša vprašanja, so bila orodja zasnovana za različne namene uporabe. LiME je zasnovan tako, da pridobi popoln izpis postavitve fizičnega pomnilnika RAM za forenzične analize ali varnostne raziskave. Vse to počne v prostoru jedra in lahko izpiše sliko v lokalni datotečni sistem ali prek TCP. Zasnovan je tako, da vam daje čim boljšo kopijo fizičnega pomnilnika, hkrati pa zmanjša njegovo interakcijo s sistemom.
Videti je, da je viewmem uporabniški program, ki bere vrsto naslovov navideznega pomnilnika iz pomnilniške naprave, kot je /dev/mem ali /dev/kmem, in natisne vsebino v stdout. Nisem prepričan, da naredi več kot preprosto uporabo dd na eni od teh naprav.
To je v forenziki manj sprejemljivo iz več razlogov. Prvič, /dev/mem in /dev/kmem se postopoma opuščata in vedno več naprav ni dobavljenih s temi napravami. Drugič, /dev/mem in /dev/kmem vas omejujeta na branje iz prvih 896 MB RAM-a. Poleg tega orodje povzroči več kontekstnih preklopov med uporabniškim in jedrnim poljem za vsak blok branja pomnilnika in prepisuje RAM s svojimi medpomnilniki.
Rekel bi, da ima vsako orodje svojo uporabo. Če želite vedeti le vsebino naslova, ki je znotraj prvih 896 MB RAM-a in ima vaša naprava /dev/mem in /dev/kmem in vam ni mar za zajem forenzično zvočne slike, bi bil viewmem (ali dd) uporaben. Vendar LiME ni bil zasnovan posebej za ta primer uporabe.
Najpomembnejša stvar za hekerje spominov je, da se viewmem opira na /dev/mem in /dev/kmem naprave. Odkar je /dev/mem in /dev/kmem naprave omogočajo neposreden dostop do pomnilnika naprave, so ranljivost. Te naprave Linux se postopoma opuščajo, saj so bile v zadnjem času tarče številnih napadov. LiME ne le nadomešča pripomoček viewmem, ampak ga naredi še bolje.
Proizvajalci upoštevajte: z zaklepanjem funkcij, ki jih želijo razvijalci, spodbujate razvoj boljših orodij.
Vir: Forenzika LiME & Intervju z avtorjem Joejem Sylveom
[Zasluge za sliko: Predstavitev LiME avtor Joe Sylve]