ana sayfa > Forensics, Güvenlik Araçları > Linux Sistemlerde Memory (RAM) Imajı Almak

Linux Sistemlerde Memory (RAM) Imajı Almak

Pazartesi, 23 Oca 2012 yorum ekle yorumlara git

Fmem, linux sistemlerde RAM imajını almak için kullanılan bir forensic aracıdır.
Bir kernel modülü olarak çalışır.Sisteme sürü olarak yüklenir ve /dev/fmem dizininde bulunur.Tıpkı /dev/mem gibidir fakat bir limit yoktur (1MB/1GB dağıtıma bağlı olarak)

Kurulumu
wget http://hysteria.sk/~niekt0/foriana/fmem_current.tgz

tar zxvf fmem_current.tgz

cd fmem_1.6-0

# make
rm -f *.o *.ko *.mod.c Module.symvers Module.markers modules.order \.*.o.cmd \.*.ko.cmd \.*.o.d
rm -rf \.tmp_versions
make -C /lib/modules/`uname -r`/build SUBDIRS=`pwd` modules
make[1]: Entering directory `/usr/src/linux-headers-2.6.38-11-generic’
CC [M] /root/fmem_1.6-0/lkm.o
LD [M] /root/fmem_1.6-0/fmem.o
Building modules, stage 2.
MODPOST 1 modules
CC /root/fmem_1.6-0/fmem.mod.o
LD [M] /root/fmem_1.6-0/fmem.ko
make[1]: Leaving directory `/usr/src/linux-headers-2.6.38-11-generic’

# ./run.sh
Module: insmod fmem.ko a1=0xffffffff8106e590 : OK
Device: /dev/fmem
—-Memory areas: —–
reg00: base=0×000000000 ( 0MB), size= 2048MB, count=1: write-back
reg01: base=0×080000000 ( 2048MB), size= 512MB, count=1: write-back
reg02: base=0x0a0000000 ( 2560MB), size= 128MB, count=1: write-back
reg03: base=0x0a8000000 ( 2688MB), size= 64MB, count=1: write-back
reg04: base=0×100000000 ( 4096MB), size= 1024MB, count=1: write-back
reg05: base=0×140000000 ( 5120MB), size= 128MB, count=1: write-back
reg06: base=0x0b0000000 ( 2816MB), size= 256MB, count=1: write-combining
———————–
!!! Don’t forget add “count=” to dd !!!

Kullanımı
# dd if=/dev/fmem of=… bs=1MB count=…

Örnek;
# dd if=/dev/fmem of=/tmp/memory.dump bs=10MB count=2048
dd: reading `/dev/fmem’: Bad address
286+0 records in
286+0 records out
2860000000 bytes (2.9 GB) copied, 34.6138 s, 82.6 MB/s

/tmp/memory.dump altında ram imajını bulabilirsiniz.

Yazar:
Ozan UÇAR
ozan.ucar@bga.com.tr

Share and Enjoy:
  • Print
  • Facebook
  • Twitter
  • Google Bookmarks

İlgili diğer yazılar:

  1. Linux sistemlerde fiziksel bellekten veri okuma (memory forensic)
  2. Linux Sistemlerde SYN Flood DDoS Saldırılarına Karşı Önlem Alma
  3. Linux Sistemlerde Fiziksel Bellekten Veri Okuma (Memory Forensic)
  4. Linux sistemlerde SYN Flood DDoS Saldırılarına Karşı Önlem Alma
  5. Linux sistemlerde fiziksel bellekten veri okuma (memory forensic)
Categories: Forensics, Güvenlik Araçları Tags: , , , , , ,
  1. şimdilik yorum yok.
  1. şimdilik geri bağlantı yok