{"id":279,"date":"2010-02-28T11:39:58","date_gmt":"2010-02-28T14:39:58","guid":{"rendered":"http:\/\/www.eriberto.pro.br\/blog\/?p=279"},"modified":"2010-02-28T11:39:58","modified_gmt":"2010-02-28T14:39:58","slug":"fazendo-o-dump-de-memoria-via-devfmem","status":"publish","type":"post","link":"https:\/\/eriberto.pro.br\/blog\/2010\/02\/28\/fazendo-o-dump-de-memoria-via-devfmem\/","title":{"rendered":"Fazendo o dump de mem\u00f3ria via \/dev\/fmem"},"content":{"rendered":"<p>Em forenses computacionais, muitas vezes, precisamos realizar um dump de mem\u00f3ria. Isso sempre pode ser feito com o comando <strong>dd<\/strong>. Veja:<\/p>\n<pre># dd if=\/dev\/mem of=memoria.dump<\/pre>\n<p>No entanto, as pessoas t\u00eam reclamado que, ultimamente, o seguinte erro tem aparecido:<\/p>\n<pre>dd: lendo \"\/dev\/mem\": Opera\u00e7\u00e3o n\u00e3o permitida<\/pre>\n<p>ou<\/p>\n<pre>dd: reading `\/dev\/mem': Operation not permitted<\/pre>\n<p>Este foi o fato que gerou este post.<\/p>\n<p>O erro mostrado ocorre porque, h\u00e1 algum tempo, o kernel 2.6 tem vindo com a op\u00e7\u00e3o <strong>CONFIG_STRICT_DEVMEM<\/strong> habilitada por default. Essa op\u00e7\u00e3o protege a mem\u00f3ria contra acessos que n\u00e3o ocorram via dispositivos espec\u00edficos. Para ver isso no Debian, por exemplo, basta executar o comando a seguir:<\/p>\n<pre># cat \/boot\/config-* | grep CONFIG_STRICT_DEVMEM<\/pre>\n<p>Uma solu\u00e7\u00e3o \u00e9 utilizar o m\u00f3dulo <strong>fmem<\/strong>, dispon\u00edvel em <a href=\"http:\/\/hysteria.sk\/~niekt0\/foriana\/\">http:\/\/hysteria.sk\/~niekt0\/foriana\/<\/a>. Ele \u00e9 de f\u00e1cil compila\u00e7\u00e3o e fornece os dados desejados. \u00c9 necess\u00e1rio ter o cuidado de especificar o limite da mem\u00f3ria para que ele n\u00e3o entre em um loop infinito. Exemplo:<\/p>\n<pre># dd if=\/dev\/fmem of=memoria.dump bs=1M count=4096<\/pre>\n<p>O valor em <strong>count<\/strong> dever\u00e1 ser trocado pela quantidade de mem\u00f3ria em MB. No meu caso, tenho 4 GB = 4096 MB.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Em forenses computacionais, muitas vezes, precisamos realizar um dump de mem\u00f3ria. Isso sempre pode ser feito com o comando dd. Veja: # dd if=\/dev\/mem of=memoria.dump No entanto, as pessoas t\u00eam reclamado que, ultimamente, o seguinte erro tem aparecido: dd: lendo &#8220;\/dev\/mem&#8221;: Opera\u00e7\u00e3o n\u00e3o permitida ou dd: reading `\/dev\/mem&#8217;: Operation not permitted Este foi o fato&hellip;&nbsp;<a href=\"https:\/\/eriberto.pro.br\/blog\/2010\/02\/28\/fazendo-o-dump-de-memoria-via-devfmem\/\" rel=\"bookmark\">Continue a ler &raquo;<span class=\"screen-reader-text\">Fazendo o dump de mem\u00f3ria via \/dev\/fmem<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"neve_meta_sidebar":"","neve_meta_container":"","neve_meta_enable_content_width":"","neve_meta_content_width":0,"neve_meta_title_alignment":"","neve_meta_author_avatar":"","neve_post_elements_order":"","neve_meta_disable_header":"","neve_meta_disable_footer":"","neve_meta_disable_title":"","footnotes":""},"categories":[54,13,12,3],"tags":[124,80,125,126,626,621,123,623],"class_list":["post-279","post","type-post","status-publish","format-standard","hentry","category-forense-computacional","category-hardware","category-kernel","category-linux","tag-devmem","tag-computador","tag-dd","tag-dump","tag-forense-computacional","tag-linux","tag-memoria","tag-seguranca"],"_links":{"self":[{"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/posts\/279","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/comments?post=279"}],"version-history":[{"count":0,"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/posts\/279\/revisions"}],"wp:attachment":[{"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/media?parent=279"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/categories?post=279"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/tags?post=279"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}