Há algum tempo, neste link, eu falei sobre o fmem, um módulo de kernel que fornece privilégios para que seja possível o dump de memória, muito usado em perícias digitais (forense computacional). Ocorre que o fmem possui algumas limitações, como a aquisição de memória somente até 4 GB. Assim a solução mais moderna e versátil é o LiME.
O objetivo deste post será mostrar, de forma simples e objetiva, como compilar e usar o módulo de kernel LiME, disponível em https://code.google.com/p/lime-forensics. O trabalho se dará no Debian Wheezy (7.0).
Inicialmente, como root, instale os cabeçalhos (headers) do kernel, o gcc e o make. Considerando o uso de um kernel de 64 bits, o comando será:
# apt-get install linux-headers-amd64 gcc make
A seguir, faça download do LiME e, depois, o extraia. A extração se dará com o comando tar:
# tar -xvf lime-forensics-1.1-r17.tar.gz
Como próximo passo, entre no diretório src e compile o código:
# cd src # make
Observe que será criado um módulo de kernel (extensão .ko). No meu caso, um ls mostra o seguinte:
# ls disk.c lime-3.2.0-4-amd64.ko lime.h main.c Makefile Makefile.sample tcp.c
Finalmente, carregue o módulo. Será utilizado o comando insmod com algumas opções. Esse carregamento já realizará o dump de memória automaticamente. O comando será o seguinte:
# insmod lime-3.2.0-4-amd64.ko "path=/root/mem.dump format=lime"
Depois do comando anterior, será criado um arquivo em /root, com o nome mem.dump, que conterá o dump da memória. O LiME trabalha com três formatos de dump: raw, padded e lime. O formato raw é o mais puro e fornece uma cópia idêntica do conteúdo da RAM. No entanto, o formato lime, que contém headers extras que controlam endereços de memória por blocos, é entendido pelo analisador Volatility. Assim sendo, este será o método preferencial.
Caso seja necessário realizar um novo dump de memória na máquina, antes de tudo, remova o módulo LiME. Para tanto, utilize o comando:
# rmmod lime
O manual do LiME em PDF, disponível no mesmo site de download, fornece diversas opções, como a aquisição da memória em dispositivos usando Android.
Muito bom Eriberto, ajudou muito para a compreensão da aula. Consegui fazer o dump da memória da minha máquina
Ótimo Vanderly. Bom proveito!
[]s