Comment créer un vidage de la mémoire physique (RAM) sous Linux?
Quel logiciel est disponible à cet effet, le cas échéant?
J'ai lu qu'il ne faut pas écrire sur un disque local, mais plutôt envoyer les données via le réseau. Quelqu'un sait les particularités ici? Ethernet fonctionnerait-il à cette fin ou existe-t-il des commandes qui minimisent la quantité de mise en cache avant d’envoyer sur le disque?
WinHex sur Windows a une telle fonctionnalité:
Je cherche quelque chose de similaire sur Linux.
Voici une page eHow sur Comment vider la mémoire Linux
Linux fournit deux périphériques virtuels à cet effet, '
/dev/mem
' et '/dev/kmem
', bien que de nombreuses distributions les désactivent par défaut pour des raisons de sécurité. '/dev/mem
' est lié à la mémoire système physique, alors que '/dev/kmem
' est mappé sur la totalité de la mémoire virtuelle, y compris tout échange. Les deux appareils fonctionnent comme des fichiers normaux et peuvent être utilisés avec dd ou tout autre outil de manipulation de fichier.
Cela mène à la page ForensicsWiki sur Outils d’imagerie de mémoire avec la section Linux/Unix ,
- dd Sur les systèmes Unix, le programme dd peut être utilisé pour capturer le contenu de la mémoire physique à l'aide d'un fichier de périphérique (par exemple,/dev/mem et/dev/kmem). Dans les noyaux Linux récents,/dev/kmem n'est plus disponible. Dans les noyaux encore plus récents,/dev/mem a des restrictions supplémentaires. Et dans la version la plus récente,/dev/mem n'est plus disponible par défaut non plus. Dans la série des noyaux 2.6, la tendance a été de réduire l’accès direct à la mémoire via des fichiers pseudo-périphériques. Voir, par exemple, le message accompagnant ce correctif: http://lwn.net/Articles/267427/ . Sur les systèmes Red Hat (et les distributions dérivées telles que CentOS), le pilote d’incident peut être chargé pour créer un pseudo-périphérique pour l’accès à la mémoire ("accident de modprobe").
- Second Look Ce produit d'analyse de mémoire commerciale a la capacité d'acquérir de la mémoire à partir de systèmes Linux, soit localement, soit à partir d'une cible distante via DMA ou sur le réseau. Il est fourni avec des modules de pilote de mémoire physique pré-compilés (PMAD) pour des centaines de noyaux des distributions Linux les plus couramment utilisées.
- Idetect (Linux)
- fmem (Linux)
fmem est un module de noyau, qui crée un périphérique/dev/fmem, similaire à/dev/mem mais sans limitations. Cet appareil (RAM physique) peut être copié à l'aide de dd ou d'un autre outil. Fonctionne sur les noyaux Linux 2.6. Sous GNU GPL.- Poisson rouge
Goldfish est un outil d'investigation médico-légal sur Mac OS X destiné à être utilisé uniquement par les forces de l'ordre. Son objectif principal est de fournir une interface facile à utiliser pour vider le système RAM d'une machine cible via une connexion Firewire. Il extrait ensuite automatiquement le mot de passe de connexion de l'utilisateur actuel et tous les fragments de conversation AOL Instant Messenger ouverts et disponibles. Les forces de l'ordre peuvent contacter goldfish.ae pour obtenir des informations sur le téléchargement.
Voir aussi: Analyse de la mémoire Linux .
Il existe également GDB couramment disponible sur la plupart des systèmes Linux.
De plus, il est toujours conseillé d’éviter d’écrire sur une mémoire inconnue - cela pourrait entraîner une corruption du système.
La volatilité semble bien fonctionner et est compatible avec Windows et Linux.
De leur site web:
Volatility prend en charge les vidages de mémoire des principales versions et services packs Windows 32 et 64 bits, notamment XP, 2003 Server, Vista, Server 2008, Server 2008 R2 et Seven. Que votre vidage de la mémoire soit au format brut, un vidage sur incident Microsoft, un fichier d'hibernation ou un instantané de machine virtuelle, Volatility peut fonctionner avec. Nous prenons également en charge les vidages de mémoire Linux au format brut ou Lime et incluons plus de 35 plugins permettant d’analyser les noyaux Linux 32 et 64 bits de 2.6.11 - 3.5.x et des distributions telles que Debian, Ubuntu, OpenSuSE, Fedora, CentOS Mandragore. Nous prenons en charge 38 versions de vidages de mémoire Mac OSX de 10.5 à 10.8.3 Mountain Lion, 32 bits et 64 bits. Les téléphones Android dotés du processeur ARM sont également pris en charge.
Second Look est un moyen simple et efficace de vider de la mémoire sous Linux: http://secondlookforensics.com/ .
Il existe également un module de noyau récemment publié que vous pouvez essayer appelé Lime: http://code.google.com/p/Lime-forensics/