14 de novembro de 2015

LiME – Linux Memory Extractor

Nas versões mais recentes do kernel do Linux, já não é mais possível fazer a extração do conteúdo da memória física de uma máquina Linux usando o "dd". No entanto algumas outras formas já surgiram para resolver esse problema.

Uma delas é usar o módulo "fmem", como descrito no blog do João Eriberto. Essa maneira funciona muito bem quando pensamos apenas em máquinas Linux com o kernel acima da versão  2.6. Entretanto, se precisarmos de algo com mais funcionalidades precisamos usar outra ferramenta.

Essa outra ferramenta pode muito bem ser o LiME - Linux Memory Extractor. O LiME é um LKM (Loadable Kernel Module) que funciona muito bem para a realização de extração de dump de memória física não só de máquinas Linux, mas dispositivos Android também.

Para fazer uso do mesmo, é preciso primeiro fazer download do mesmo AQUI e descompactá-lo. Depois disso, basta compilá-lo com o comando "make".

Duas coisas interessantes: a ferramenta permite fazer a extração via rede e só precisa usar o comando insmod para carregar o módulo. Veja abaixo os comandos:


insmod ./lime.ko "path=> format= [dio=<0>]"

path (required):   outfile ~ name of file to write to on local system (SD Card)
        tcp:port ~ network port to communicate over

format (required): raw ~ concatenates all System RAM ranges
        padded ~ pads all non-System RAM ranges with 0s
        lime ~ each range prepended with fixed-size header containing address space info

dio (optional):    1 ~ attempt to enable Direct IO
        0 ~ default, do not attempt Direct IO

localhostonly (optional):  1 restricts the tcp to only listen on localhost, 0 binds on all interfaces (default)

E no caso de dispositivos Android, os comandos são (um exemplo):

$ adb push lime.ko /sdcard/lime.ko
$ adb forward tcp:4444 tcp:4444
$ adb shell
$ su
# insmod /sdcard/lime.ko "path=tcp:4444 format=lime"
É possível assistir um vídeo de apresentação da ferramenta, que permitirá entender melhor seu funcionamente, clicando aqui.

Para os profissionais da área de forense, é uma grande ferramenta. Entretanto, lembrem-se de duas coisas importantíssimas: baixe e compile o LiME em um pendrive ou disco externo que usará com o kit de ferramentas que preparou previamente para o processo de coleta de dados, e não apenas o LiME, mas também todos os demais binários utilizados, como o insmod, devem ser preparados por você como parte de um kit forense, e não aqueles que existem dentro do disco a ser coletado como evidência.

Divirtam-se!
às

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)