Imprimir post Imprimir post
 

LiME – Linux Memory Extractor

Posted by Eriberto on out 7, 2013 in Forense computacional, Hardware, Kernel, Linux, Sistema Operacional |

Há algum tempo, neste link, eu falei sobre o fmem, um módulo de kernel que fornece privilégios para que seja possível o dump de memória, muito usado em perícias digitais (forense computacional). Ocorre que o fmem possui algumas limitações, como a aquisição de memória somente até 4 GB. Assim a solução mais moderna e versátil é o LiME.

O objetivo deste post será mostrar, de forma simples e objetiva, como compilar e usar o módulo de kernel LiME, disponível em https://code.google.com/p/lime-forensics. O trabalho se dará no Debian Wheezy (7.0).

Inicialmente, como root, instale os cabeçalhos (headers) do kernel, o gcc e o make. Considerando o uso de um kernel de 64 bits, o comando será:

# apt-get install linux-headers-amd64 gcc make

A seguir, faça download do LiME e, depois, o extraia. A extração se dará com o comando tar:

# tar -xvf lime-forensics-1.1-r17.tar.gz

Como próximo passo, entre no diretório src e compile o código:

# cd src
# make

Observe que será criado um módulo de kernel (extensão .ko). No meu caso, um ls mostra o seguinte:

# ls
disk.c  lime-3.2.0-4-amd64.ko  lime.h  main.c  Makefile  Makefile.sample  tcp.c

Finalmente, carregue o módulo. Será utilizado o comando insmod com algumas opções. Esse carregamento já realizará o dump de memória automaticamente. O comando será o seguinte:

# insmod lime-3.2.0-4-amd64.ko "path=/root/mem.dump format=lime"

Depois do comando anterior, será criado um arquivo em /root, com o nome mem.dump, que conterá o dump da memória. O LiME trabalha com três formatos de dump: raw, padded e lime. O formato raw é o mais puro e fornece uma cópia idêntica do conteúdo da RAM. No entanto, o formato lime, que contém headers extras que controlam endereços de memória por blocos, é entendido pelo analisador Volatility. Assim sendo, este será o método preferencial.

Caso seja necessário realizar um novo dump de memória na máquina, antes de tudo, remova o módulo LiME. Para tanto, utilize o comando:

# rmmod lime

O manual do LiME em PDF, disponível no mesmo site de download, fornece diversas opções, como a aquisição da memória em dispositivos usando Android.

Tags:, , , , , , , , , , ,

2 Comments

Vanderly
out 10, 2013 at 2:42 am

Muito bom Eriberto, ajudou muito para a compreensão da aula. Consegui fazer o dump da memória da minha máquina


 
Eriberto
out 10, 2013 at 12:31 pm

Ótimo Vanderly. Bom proveito!

[]s


 

Reply

Copyright © 2017 Eriberto Blog All rights reserved.
desk-mess-mirrored v theme from BuyNowShop.com.