Ham Bellek Anlık Görüntüleri için LiME Adli Bilimler Çekirdek Modülü

Belleğe ham erişim, veri adli incelemesi yaparken veya cihazları hacklerken kullanışlıdır. Bazen kilitli önyükleyicilerde neler olup bittiğini analiz edebilmek için belleğin anlık görüntüsüne ihtiyaç duyarsınız. Bir hatayı bulmak için veya sadece Angry'nizin doğru hafıza konumunu bulmak için hafıza konumunun anlık görüntüsü Kuşlar gol atıyor. Burası Linux Memory Extractor'ın, diğer adıyla. LiME Adli Tıp, içeri gelir. LiME, cihaz belleğinin tamamına erişmenizi sağlayan, yüklenebilir bir çekirdek modülüdür. Çekirdek modülü belleğe yüklenir yüklenmez, temel olarak bir anlık görüntü alır ve çok verimli hata ayıklamaya olanak tanır.

LiME Forensics'in yazarı Joe Sylve'den LiME'nin viewmem gibi geleneksel araçlara göre avantajlarını açıklamasını istedim:

Sorularınıza cevap verebilmek için araçlar farklı amaçlarla kullanılmak üzere tasarlandı. LiME, adli analiz veya güvenlik araştırması için RAM'in fiziksel bellek düzeninin tam dökümünü elde etmek üzere tasarlanmıştır. Tüm bunları çekirdek alanında yapar ve bir görüntüyü yerel dosya sistemine veya TCP üzerinden aktarabilir. Sistemle etkileşimi en aza indirirken, size fiziksel belleğin mümkün olduğunca yakın bir kopyasını vermek üzere tasarlanmıştır.

Görünüşe göre viewmem, /dev/mem veya /dev/kmem gibi bir bellek aygıtından bir dizi sanal bellek adresini okuyan ve içerikleri stdout'a yazdıran bir kullanıcı alanı programıdır. Bu cihazlardan birinde dd kullanmaktan daha fazlasını yaptığından emin değilim.

Bu, çeşitli nedenlerden dolayı adli tıpta daha az kabul edilebilirdir. Öncelikle /dev/mem ve /dev/kmem kullanımdan kaldırılıyor ve giderek daha fazla cihaz bu cihazlarla birlikte gönderilmiyor. İkinci olarak, /dev/mem ve /dev/kmem sizi ilk 896 MB RAM'den okumayla sınırlandırır. Ayrıca araç, okunan her bellek bloğu için kullanıcı alanı ile çekirdek alanı arasında çeşitli bağlam geçişlerine neden oluyor ve arabellekleriyle RAM'in üzerine yazıyor.

Her aracın kendi kullanımı olduğunu söyleyebilirim. Sadece ilk 896MB RAM içindeki bir adresin içeriğini bilmeniz gerekiyorsa ve cihazınızda /dev/mem ve /dev/kmem ve adli açıdan sağlam bir görüntü yakalamayı umursamıyorsanız, viewmem (veya dd) şöyle olur: kullanışlı. Ancak LiME bu kullanım durumu için özel olarak tasarlanmamıştır.

Siz hafıza korsanları için en önemli şey, viewmem'in /dev/mem Ve /dev/kmem cihazlar. Beri /dev/mem Ve /dev/kmem cihazlar cihaz hafızasına doğrudan erişime izin verir, bunlar bir güvenlik açığıdır. Bu Linux cihazları, son zamanlarda çok sayıda istismarın hedefi olduğundan, aşamalı olarak kullanımdan kaldırılıyor. LiME, viewmem yardımcı programının yerini almakla kalmaz, aynı zamanda onu daha iyi yapar.

Üreticiler şunu not ediyor: Geliştiricilerin istediği özellikleri kilitleyerek daha iyi araçların geliştirilmesini teşvik etmiş olursunuz.

Kaynak: LiME Adli Tıp & Yazar Joe Sylve ile Röportaj

[Resim Kredisi: LiME Sunumu Joe Sylve tarafından]