Versuch, auf RAM / dev / mem zuzugreifen ... sagt "Operation nicht erlaubt"

9106

Ich benutze Ubuntu 12.04

Ich habe das folgende Tutorial gelesen, wie man unter Linux auf den RAM-Inhalt zugreifen kann ....

http://www.rootninja.com/gebrauch-dd-nach-suche-für-schnur-in-speicher-oder-vorrichtungen/

Code:

dd if=/dev/mem | hexdump -C | grep “string to search for”

Also, ich führe den Code aus ...

Code:

sudo dd if=/dev/mem | hexdump -C > NAMEOFOUTPUTFILEHERE.txt

Und ... es fängt an, HEX-Code herauszupumpen, bis es ein paar Sekunden später dort steht:

dd: reading `/dev/mem': Operation not permitted 2056+0 records in  2056+0 records out 1052672 bytes (1.1 MB) copied, 0.44834 s, 2.3 MB/s

Also im Grunde .. Ich bin in der Lage, ungefähr 3,3 MB RAM-Dump-Inhalte zu erhalten - bis das Programm stoppt und sagt: "Operation nicht erlaubt"

Und so wundere ich mich, warum kann ich nicht den gesamten RAM-Speicher ausgeben? Ist dies eine absichtliche Einschränkung in Ubuntu, um böswillige Hacker zu stoppen? Oder ist es etwas anderes? Weiß das jemand? Vielen Dank

8
OK ... vergessen Sie es ... es stellt sich heraus, dass Ubuntu ein RAM-Limit von 1 MB hat, wie im Kernel definiert. Und das ist natürlich eine gute Sicherheit, denn dann kann ein Hacker Ihre Kennwörter nicht aus dem RAM extrahieren. Und so ... yeah .... dieser Thread ist jetzt gelöst Hier ist die vollständige Info, für alle Interessierten .... vor 11 Jahren 3
Wenn Ihr Kernel mit STRICT_DEVMEM = y kompiliert wurde (siehe zB / boot / config-KERNELVERSION), wird nur die erste 1 MB aus / dev / mem gelesen. Dies ist nicht so sehr ein Problem der Kernel-Version, da der Kernel Ihres eigenen Computers kompiliert wurde. Die meisten Distributionskerne haben diese Einschränkung aus gutem Grund. Sie können das forensische Kernelmodul fmem herunterladen und importieren, um dies zu umgehen. auf eigene Gefahr! so bald wie möglich danach. Das fmem-Modul stellt ein / dev / fmem-Gerät ohne Sicherheitsbeschränkungen bereit. vor 11 Jahren 1
"Ich kann ca. 3,3 MB RAM-Dump-Inhalte erhalten". Ähm, bist du? Alles was ich sehe ist '1052672 Bytes (1,1 MB) kopiert'. Keine 3,3 MB (noch 2,3 MB / s, was eine Geschwindigkeit war). Hennes vor 8 Jahren 1

1 Antwort auf die Frage

3
Hennes

Der Linux-Kernel Ihrer Ubuntu-Installation wird mit einer Einstellung * ausgeliefert, die die RAM-Extraktion auf 1 MB begrenzt.

Wenn Sie nicht möchten, dass Sie den Kernel ohne ihn neu kompilieren können (offensichtliche Einschränkung: Sie verringern die Sicherheit!), Können Sie das forensische Kernelmodul fmem herunterladen und importieren, um dies zu umgehen. Das bietet ein / dev / fmem-Gerät ohne Sicherheit.

Wie von Opello erwähnt: Sie können auch strict-devmem=0die Kernel-Cmdline verwenden.

* : STRICT_DEVMEM=y(siehe zB / boot / config-KERNELVERSION)

Sie können auch `strict-devmem = 0` in der Kernel-Cmdline übergeben. opello vor 8 Jahren 3
Nur auf [Fedora] (https://bugzilla.redhat.com/show_bug.cgi?id=492803#c1) und verwandten Distributionen, falls \ * gerade \ * an diesem Tag mirh vor 5 Jahren 0

Verwandte Probleme