Как сделать дамп оперативной памяти в Linux

[top]

Как и в случае со снятием образа жесткого диска в Linux, существует несколько способов сделать дамп оперативной памяти в Linux. Среди вариантов:

• использование нативного модуля ядра Linux Memory Extractor (LiME);
• скрипт Linux Memory Grabber, который не требует установки и который можно запускать, к примеру, с флешки;
• связка утилит lmap и pmem, которые входят в пакет Rekall. Их-то я и буду использовать.

Пара слов о Rekall. Это отдельная ветвь развития известного фреймворка Volatility Framework, которая написана на Python и предназначена специально для включения в форензик-дистрибутивы, работающие с Live CD.

Переходим в папку с утилитой и собираем ее из исходников:

$ cd rekall/tools/linux/
$ make

Грузим драйвер ядра pmem.ko в оперативную память:

$ sudo insmod pmem.ko

Проверяем инициализацию драйвера:

$ sudo lsmod

После этого драйвер создает файл-контейнер под наш будущий образ RAM: /dev/pmem.

Теперь с помощью все той же утилиты dd создаем сам образ оперативной памяти системы:

$ dd if=/dev/pmem of=forensic_RAM_image.raw

Ну и после завершения работы выгружаем драйвер:

$ rmmod pmem

Дело сделано! Теперь у нас есть все необходимое для дальнейшего анализа.

взято с spy-soft

 

[Adam]

Может туплю, но не разу не находил паролей в оперативной памяти. Кто может предоставить тестовый дамп оперативки с лежащим там паролем, может есть методы быстрой находки всех паролей?