Необрађени приступ меморији је користан током извођења форензике података или приликом хаковања уређаја. Понекад вам је потребан снимак меморије да бисте могли да анализирате шта се дешава са закључаним покретачима, набавите снимак меморијске локације да бисте пронашли грешку или само да бисте открили одговарајућу меморијску локацију вашег Ангри Бирдс сцоре. Овде је Линук Мемори Ектрацтор, а.к.а. ЛиМЕ Форенсицс, долази у. ЛиМЕ је модул кернела који се може учитати и који вам омогућава приступ целом опсегу меморије уређаја. Чим се модул кернела учита у меморију, он у основи прави снимак, што омогућава веома ефикасно отклањање грешака.
Питао сам Џоа Силвеа, аутора ЛиМЕ форензике да објасни предности ЛиМЕ-а у односу на традиционалне алате као што је виевмем:
Да бисмо одговорили на ваша питања, алати су дизајнирани за различите намене. ЛиМЕ је дизајниран да прикупи пуну депонију распореда физичке меморије РАМ-а за форензичку анализу или безбедносна истраживања. Све то ради у простору кернела и може да избаци слику у локални систем датотека или преко ТЦП-а. Дизајниран је тако да вам пружи што је могуће ближу копију физичке меморије, истовремено минимизирајући њену интеракцију са системом.
Чини се да је виевмем кориснички програм који чита низ адреса виртуелне меморије са меморијског уређаја, као што је /дев/мем или /дев/кмем и штампа садржај у стдоут. Нисам сигуран да ради више од једноставног коришћења дд-а на једном од тих уређаја.
Ово је мање прихватљиво у форензици из неколико разлога. Пре свега, /дев/мем и /дев/кмем се постепено гасе и све више уређаја се не испоручује са тим уређајима. Друго, /дев/мем и /дев/кмем ограничавају вас на читање из првих 896МБ РАМ-а. Такође, алатка изазива неколико промена контекста између корисничког и кернелланд-а за сваки читани блок меморије и замењује РАМ са својим баферима.
Рекао бих да сваки алат има своју употребу. Ако само треба да знате садржај адресе која се налази унутар првих 896МБ РАМ-а и ваш уређај има /дев/мем и /дев/кмем и није вам стало да снимите форензички звучну слику, онда би виевмем (или дд) био корисним. Међутим, ЛиМЕ није дизајниран посебно за тај случај употребе.
Најважнија ствар, за вас хакере меморије, јесте да се виевмем ослања на /dev/mem и /dev/kmem уређаја. Пошто је /dev/mem и /dev/kmem уређаји омогућавају директан приступ меморији уређаја, они представљају рањивост. Ови Линук уређаји се постепено гасе, јер су у последње време били мета вишеструких експлоатација. ЛиМЕ не само да замењује услужни програм виевмем, већ то чини и боље.
Произвођачи узимају у обзир: Закључавањем функција које програмери желе, промовишете развој бољих алата.
Извор: ЛиМЕ Форенсицс & интервју са аутором Џоом Силвом
[Имаге Цредит: ЛиМЕ Пресентатион од Јое Силве]