В Linux есть несколько инструментов для дампа памяти. В этой статье разберемся, как использовать LiME для дампа памяти в Linux.
Еще по теме: Создание флешки для дампа RAM
Что такое LiME
LiME — это загружаемый модуль ядра, позволяющий дампить содержимое энергозависимой памяти в Linux и основанных на Linux устройствах, таких, например, как Android. Позволяет сохранять содержимое памяти либо в локальную файловую систему, либо передать его по сети.
Уникальность данного инструмента заключается в том, что это первая программа, позволяющая выполнить полный дамп памяти Android-устройств.
Установка LiME
Используемая команда:
git clone https://github.com/504ensicsLabs/LiME.git
Перед клонированием репозитория убедитесь, что система обновлена, выполнив команду:
|
1 |
sudo apt-update |
После клонирования репозитория перейдите в нужное место с помощью следующей команды:
|
1 |
cd [Путь к LiME] |
Как только вы окажетесь в каталоге, выполните следующие команду:
|
1 |
uname -r |
После того как вы получили версию ядра, перейдите в папку src в клонированной папке:
|
1 |
cd /LiME/src |
Далее можно просмотреть список объектов в папке «src»:
|
1 |
ls |
После отображения файлов выполните команду:
|
1 |
make |
После ее выполнения должно появиться следующее окно.
Теперь в папке /src появится файл .ko (объектный файл ядра), названный в соответствии с версией ядра вашей конечной точки, как указано ниже.
Использование LiME
LiME использует команду insmod для загрузки модуля.
Синтаксис команды для дампа памяти:
|
1 |
insmod ./lime-6.2.0-39-generic.ko "[путь сохранения]/[имя файла].mem format=raw" |
Пример дампа памяти:
|
1 |
insmod ./lime-6.2.0-39-generic.ko "path=/home/testuser/Desktop/test1.mem format=raw" |
Если все прошло успешно, вы получите файл .mem, который можно легко проанализировать с помощью Volatility.
ПОЛЕЗНЫЕ ССЫЛКИ:
надо поговорить пиши на мыло