Наш Jabber-сервер расположен по адресу fuckav.in. Добро пожаловать!!! |
|
Статьи Раздел с интересными статьями! |
Для того, чтобы ответить в теме, необходимо зарегистрироваться. |
|
Опции темы | Опции просмотра |
|
08-05-2014 | #1 | |||
Администратор
Последняя активность:
1 минуту назад Регистрация: 16.02.2011
Сообщений: 1,733
Поблагодарили всего: 1,428
за это сообщение: 6 |
Получаем образ оперативной памяти
Источник: [Ссылки могут видеть только зарегистрированные пользователи.]
Содержание оперативной памяти является очень важной информацией при изучении предыдущих действий с машиной. Оперативная память может содержать как части самих исполняемых процессов, так и части удаленных файлов, пользовательских сессий, криптографических ключей. При современном распространении сложных систем защиты информации, основанных на криптовании восстановление их ключей становиться чуть-ли не одной из основных задач для исследования. В защищенных системах зачастую оперативная память это единственное место где могут сохраниться защитные ключи и другая временная, но очень важная информация. Процесс получения информации, которая содержится в оперативной памяти состоит из двух этапов: изъятие содержимого оперативной памяти и анализ полученных во время изъятия данных. Обращая внимание на первый этап стоит заметить, что изъятие оперативной памяти может быть выполнено с помощью ряда средств: непосредственный доступ к памяти с использованием специальных плат расширения, порта FireWire, и даже физическом изъятии запоминающего устройства оперативной памяти (потребует замораживания плат), но в данном материале мы рассмотрим программные средства, которые позволяют изъять содержимое оперативной памяти защищенных машин путем так называемой «горячей» перезагрузки и запуска машины в Live-режиме. Для выполнения этой задачи будем использовать специальный дистрибутив [Ссылки могут видеть только зарегистрированные пользователи.], состоящий из минимального набора компонент, а именно, только те, которые необходимы для изъятия данных из памяти. Соответственно отсутствует и графический интерфейс. Использование такого подхода к изъятию содержимого оперативной памяти имеет ряд преимуществ и недостатков сравнительно с другими перечисленными выше средствами. Плюсы: — использование Live-дистрибутива позволяет проводить действие не зависимо от того какая операционная система установлена на исследуемой машине; — отсутствуют затраты на приобретение дорогостоящих специальных устройств, кабелей, плат, и др. Недостаток: — содержимое оперативной памяти будет неполным — ее часть будет перезаписана данными, необходимыми для запуска Live-дистрибутива (приблизительно 125 Мб). Для использования доступны специально собранные дистрибутивы для машин с памятью объемом до 3 Гб (і386) и свыше 3 Гб (amd64). С их помощью можно создать загрузочный CD/DVD-диск или загрузочный USB-диск. Замечания: — второго шанса система нам не дает — у нас есть только одна попытка. т. е. при повторной перезагрузке исследуемого компьютера большая вероятность того что мы уже не найдем необходимой информации. Отсюда следует что не надо перезагружать его несколько раз, экспериментировать, прицеливаться. Необходимо заранее подготовится и знать как компьютер себя поведет после перезагрузки. Большинство современных компьютеров позволяют прямо при старте указать откуда производить загрузку, но если этого нет, тогда необходимого настроить BIOS машины на загрузку с CD/DVD-привода или USB-привода/накопителя, после чего загрузить Live-дистрибутив с указанного устройства. Итак, приступим. Перезагружаем компьютер. ВАЖНО: перезагрузка ни в коем случае не должна быть холодной (путем нажатия кнопки «ресет» или выключение\включение питания), а именно — перезагрузка должна быть осуществлена средствами самой работающей системы (например нажатием кнопок Ctrl-Alt-Del или путем выбора пункта «перезагрузка» в системе) После загрузки дистрибутива пользователю доступна привычная строка консоли Linux, и краткая информация для запуска модуля. Подготовка к работе программы fmem заключается в выполнении следующих команд:
Для того, что бы узнать какой идентификатор присоединенному носителю присвоила система, необходимо после его подключения к компьютеру ввести следующую команду: # dmesg | tail (Команда выводит на экран информацию буфера сообщений ядра. Нас будет интересовать последняя запись.) Как например вот это:
Далее следует примонтировать логический раздел накопителя к папке /tmp загруженной в Live-режиме операционной системы: # mount /dev/sdb1 /tmp (где «mount» — команда монтирования устройства «/dev/sdb1» — адрес файла логического раздела присоединенного накопителя «/tmp» — папка в которую необходимо подключить накопитель). Все подготовительные шаги сделаны — можно переходить к изъятию содержимого оперативной памяти: # dd if=/dev/fmem of=/tmp/ram-image.mem bs=1K count=`head -1 /proc/meminfo | awk '{print $2}'` (где «dd» — команда создания образа «if=/dev/fmem» — источник данных, а именно оперативная память «of=/tmp/ram-image.mem» — запись в файл «ram-image.mem» в папку «/tmp» «bs=1K» — размер блока информации — 1 Кб «count=`head -1 /proc/meminfo | awk '{print $2}'`» — объем оперативной памяти, информация о которой извлекается из файла /proc/meminfo). И ждем… В результате удачного выполнения команды, мы получим сообщение похожее на это: 521453568 bytes (521 MB) copied, 158.405 s, 3.3 MB/s (где «521453568 bytes (521 MB) copied» — объем скопированной информации «158.405 s» — время в течении которого проводилась операция «3.3 MB/s» — скорость при которой проводилась операция) В результате мы получили содержимое оперативной памяти машины в файле «ram-image.mem» на накопителе. Теперь его можно обрабатывать в т.ч. извлекая части исполняемых процессов, удаленных файлов, информацию о пользовательских сессиях, криптографических ключах и многое другое. P.S. Также стоит обратить внимание что все современные системы используют в своей работе и swap-память (так называемый «файл подкачки») Файл подкачки – это своеобразное дополнение к оперативной памяти (которая занимается временным хранением данных для быстрой доставки их на обработку процессору) Вашего компьютера. Даже не столько дополнение, сколько её уширение или, можно сказать, продолжение. Дело в том, что когда не хватает оперативной памяти система может переносить данные из памяти на диск (так называемая дополнительная память), в котором соответственно также хранятся данные. И для полной картины анализа памяти необходимо также получить и их. Различные операционные системы используют разные способы их хранения. В случае с Windows это обычно файлы в корне на системном диске С: pagefile.sys для Win XP и Win 7 и достаточно просто скопировать файл Для Linux — это отдельный раздел на носителе. Например: Команда sudo fdisk -l /dev/sda покажет нам все разделы в системе /dev/sda1 * 2048 78125055 39061504 83 Linux /dev/sda2 78125056 117186559 19530752 82 Linux своп / Solaris /dev/sda3 117186560 625141759 253977600 83 Linux Исходя из чего мы видим что раздел подкачки находиться в /dev/sda2 Скопировать его можно также с помощию команды dd. Например: dd if=/dev/sda2 of=/media/<путь куда записать>/linux-swap.dd Для MacOS необходимо скопировать все файлы из директории /private/var/vm/swapfile* Обработка и анализ полученных результатов (как дампа оперативной памяти так и swap-памяти) может проводиться как в ручную с помощью например HEX-редактора, так и с помощью ряда программ о которых будет рассказано в следующий раз.
__________________ "Водка взяла верх над ним." © gerry Мануал на тему: "Как получить пароль к криптору?" Обязательно к прочтению всем новичкам. Программы и сервисы, помогающие получить пароль к крипторам. Если кто-то решил пофлудить, предлагаю сначала ознакомиться с нашим банлистом. /banlist.php Халявный сканер файлов на детект (35 антивирусов). Крипторы Онлайн проверка на вирусы бесплатно. http://scanner.fuckav.ru/ Флуд, набивание постов, слив на вирустотал - бан.
|
|||
|
Для того, чтобы ответить в теме, необходимо зарегистрироваться. |
Метки |
образ, оперативной, памяти, получаем |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
Опции темы | |
Опции просмотра | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Получаем халявный дедик | Ferrari | Халява | 4 | 24-01-2012 00:44 |
Apple открыла страницу памяти Стива Джобса | KpuMuHaJl | Новости | 0 | 21-10-2011 12:38 |
Получаем GOLD-аККАУНТ на DepositfileS | RXT | Халява | 31 | 23-02-2011 09:33 |
[Delphi][.pas] uExecFromMem(Выполнить файло из памяти.) | olegteror | Pascal/Delphi | 2 | 01-10-2010 07:39 |