Wie kann ich physischen Speicher unter Linux sichern?

68934
Anonymous

Wie würde man einen Speicherauszug des physischen Speichers (RAM) in Linux erstellen?

Welche Software gibt es für diesen Zweck?

Ich habe gelesen, dass man nicht auf eine lokale Festplatte schreiben sollte, sondern die Daten lieber über das Netzwerk schicken soll. Kennt jemand die Besonderheiten hier? Würde Ethernet zu diesem Zweck funktionieren oder gibt es Befehle, die den Cache-Speicher vor dem Senden auf die Festplatte minimieren?

WinHex unter Windows verfügt über eine solche Funktionalität:

Wie kann ich physischen Speicher unter Linux sichern?

Ich suche etwas Ähnliches unter Linux.

22

4 Antworten auf die Frage

22
nik

Hier ist eine eHow-Seite zum Ablegen von Linux-Speicher

Linux bietet zu diesem Zweck zwei virtuelle Geräte an, " /dev/mem" und " /dev/kmem", obwohl viele Distributionen diese aus Sicherheitsgründen standardmäßig deaktivieren. ' /dev/mem' ist mit dem physischen Systemspeicher verknüpft, ' /dev/kmem' wird jedoch dem gesamten virtuellen Speicherplatz zugeordnet, einschließlich aller Auslagerungen. Beide Geräte arbeiten als reguläre Dateien und können mit dd oder einem anderen Dateimanagement-Tool verwendet werden.

Dies führt auf die ForensicsWiki-Seite zu den Speicherabbild-Tools mit dem Abschnitt Linux / Unix .

  1. dd Auf Unix-Systemen kann das Programm dd verwendet werden, um den Inhalt des physischen Speichers mithilfe einer Gerätedatei (z. B. / dev / mem und / dev / kmem) zu erfassen. In den letzten Linux-Kerneln ist / dev / kmem nicht mehr verfügbar. In noch neueren Kerneln gelten für / dev / mem zusätzliche Einschränkungen. In der neuesten Version ist / dev / mem standardmäßig nicht mehr verfügbar. Während der 2.6er Kernel-Reihe bestand der Trend darin, den direkten Zugriff auf den Speicher über Pseudo-Gerätedateien zu reduzieren. Siehe beispielsweise die diesem Patch beiliegende Nachricht: http://lwn.net/Articles/267427/ . Auf Red Hat-Systemen (und abgeleiteten Distributionen wie CentOS) kann der Crash-Treiber geladen werden, um ein Pseudo-Gerät für den Speicherzugriff zu erstellen ("modprobe crash").
  2. Second Look Dieses kommerzielle Produkt zur Speicheranalyse kann Speicher von Linux-Systemen entweder lokal oder von einem Remote-Ziel über DMA oder über das Netzwerk abrufen. Es wird mit vorkompilierten PMAD-Modulen (Physical Memory Access Driver) für Hunderte von Kerneln der am häufigsten verwendeten Linux-Distributionen geliefert.
  3. Idetect (Linux)
  4. fmem (Linux)
    fmem ist ein Kernel-Modul, das Geräte / dev / fmem erstellt, ähnlich wie / dev / mem, jedoch ohne Einschränkungen. Dieses Gerät (physisches RAM) kann mit dd oder einem anderen Werkzeug kopiert werden. Funktioniert auf 2.6 Linux-Kerneln. Unter GNU GPL.
  5. Goldfish
    Goldfish ist ein forensisches Live-Tool für Mac OS X, das nur von Strafverfolgungsbehörden verwendet werden kann. Sein Hauptzweck besteht darin, eine benutzerfreundliche Schnittstelle bereitzustellen, um den System-RAM eines Zielcomputers über eine Firewire-Verbindung zu sichern. Es extrahiert dann automatisch das aktuelle Benutzeranmeldekennwort und alle möglicherweise vorhandenen AOL Instant Messenger-Unterhaltungsfragmente. Die Strafverfolgungsbehörden wenden sich möglicherweise an goldfish.ae, um Informationen zum Download zu erhalten.

Siehe auch: Linux-Speicheranalyse . GDB
ist auch für die meisten Linuxes verfügbar. Es wird immer empfohlen, nicht über unbekannten Speicher zu schreiben. Dies kann zur Beschädigung des Systems führen.

Hat jemand dies auf einem neuen Ubuntu-System versucht? vor 13 Jahren 1
no / dev / mem oder / dev / kmem in meinem Debian-System. Rob vor 12 Jahren 1
Ich habe es gerade auf meiner CentOS 7.x VM gemacht. slm vor 6 Jahren 0
4
Patel95

Die Volatilität scheint gut zu funktionieren und ist Windows- und Linux-kompatibel.

Von ihrer Website:

Volatility unterstützt Speicherabbilder aller wichtigen 32- und 64-Bit-Windows-Versionen und Service Packs, einschließlich XP, 2003 Server, Vista, Server 2008, Server 2008 R2 und Seven. Unabhängig davon, ob es sich bei Ihrem Speicherabbild im unformatierten Format, einem Microsoft-Absturzabbild, einer Ruhezustanddatei oder einem Snapshot der virtuellen Maschine handelt, kann Volatility damit arbeiten. Wir unterstützen jetzt auch Linux-Speicherabbilder im Raw- oder LiME-Format und enthalten mehr als 35 Plug-Ins für die Analyse von 32- und 64-Bit-Linux-Kerneln von 2.6.11 - 3.5.x sowie von Distributionen wie Debian, Ubuntu, OpenSuSE, Fedora, CentOS und Mandrake Wir unterstützen 38 Versionen von Mac OSX-Speicherabbildern von 10.5 bis 10.8.3 Mountain Lion, sowohl 32- als auch 64-Bit. Android-Telefone mit ARM-Prozessoren werden ebenfalls unterstützt.

3
Andrew Tappert

Second Look ist eine gute und einfache Möglichkeit, Speicher unter Linux zu sichern : http://secondlookforensics.com/ .

Es gibt auch ein kürzlich veröffentlichtes Kernel-Modul, das Sie unter dem Namen LiME ausprobieren könnten: http://code.google.com/p/lime-forensics/

0
slm

Zur Bestätigung konnte ich den Arbeitsspeicher meiner CentOS 7.x VM mit dieser Methode sichern:

$ head /dev/mem | hexdump -C 00000000 53 ff 00 f0 53 ff 00 f0 53 ff 00 f0 53 ff 00 f0 |S...S...S...S...| 00000010 53 ff 00 f0 53 ff 00 f0 cc e9 00 f0 53 ff 00 f0 |S...S.......S...| 00000020 a5 fe 00 f0 87 e9 00 f0 53 ff 00 f0 46 e7 00 f0 |........S...F...| 00000030 46 e7 00 f0 46 e7 00 f0 57 ef 00 f0 53 ff 00 f0 |F...F...W...S...| 00000040 22 00 00 c0 4d f8 00 f0 41 f8 00 f0 fe e3 00 f0 |"...M...A.......| 00000050 39 e7 00 f0 59 f8 00 f0 2e e8 00 f0 d4 ef 00 f0 |9...Y...........| 00000060 a4 f0 00 f0 f2 e6 00 f0 6e fe 00 f0 53 ff 00 f0 |........n...S...| 00000070 ed ef 00 f0 53 ff 00 f0 c7 ef 00 f0 ed 57 00 c0 |....S........W..| 00000080 53 ff 00 f0 53 ff 00 f0 53 ff 00 f0 53 ff 00 f0 |S...S...S...S...| * 00000100 59 ec 00 f0 3d 00 c0 9f 53 ff 00 f0 ed 69 00 c0 |Y...=...S....i..| 00000110 53 ff 00 f0 53 ff 00 f0 53 ff 00 f0 53 ff 00 f0 |S...S...S...S...| * 00000180 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| 000afea0 00 00 00 00 00 00 00 00 aa aa aa 00 aa aa aa 00 |................| 000afeb0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| ... ... 000b0000 ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff |................| * 000c0000 55 aa 40 e9 62 0a 00 00 00 00 00 00 00 00 00 00 |U.@.b...........| 000c0010 00 00 00 00 00 00 00 00 00 00 00 00 00 00 49 42 |..............IB| 000c0020 4d 00 9c 80 fc 0f 75 06 e8 4f 01 e9 bc 00 80 fc |M.....u..O......|

Angesichts dieser 55aah im c0000h-effffh-Bereich ist es wahrscheinlich der PNP-Erweiterungsheader:

Referenz: BIOS-Startspezifikation

3.3 Geräte mit PnP-Erweiterungsköpfen

Alle IPL-Geräte mit Options-ROMs müssen einen gültigen Options-ROM-Header enthalten, der sich zwischen den Systemspeicheradressen C0000h und EFFFFh an einer 2k-Grenze befindet und mit 55AAh beginnt. Das Starten eines Geräts kann nur gesteuert werden, wenn es einen PnP-Erweiterungsheader hat. Der Erweiterungsheader, dessen Adresse innerhalb des Standard-Options-ROM-Headers bei Offset + 1Ah liegt, enthält wichtige Informationen zur Konfiguration des Geräts. Es enthält auch Zeiger, die im Options-ROM (BCV oder BEV) des Geräts kodiert werden sollen, das das BIOS zum Starten vom Gerät aufruft. In Anhang A finden Sie Informationen zum Aufbau des PnP-Erweiterungskopfs. Es gibt zwei Möglichkeiten, ein IPL-Gerät mit einem PnP-Erweiterungsheader zu booten. Es muss ein BCV oder ein BEV enthalten.

Verweise

Verwandte Probleme