Wiem, że zrzucam obrazy pamięci w systemie Windows. (eg-dumpit) Ale nie wiem, jak zrzucić obrazy pamięci w systemie Linux.
Chcę uzyskać obrazy pamięci w systemie Linux i od systemu Linux do systemu Linux z połączeniem ssh lub coś takiego.
Jak mogę uzyskać dostęp do systemu Linux?
Odpowiedzi:
Z Forensic's Wiki: Narzędzia: obrazowanie pamięci
fragment
Znalazłem ten przykład
fmem
użycia, który wydaje się być najłatwiejszym sposobem zrzutu pamięci do celów analizy, z którego nie można już korzystać/dev/mem
po jądrach 2.6.x, jak rozumiem.przykład fmem
* Źródło: Jak mogę zrzucić całą pamięć fizyczną do pliku?
Przykład LiME
Do analizy pamięci ulotnej dostępna jest również strona zatytułowana: Analiza pamięci systemu Linux . W tym samouczku wideo znajduje się dokładny przykład, który pokazuje użycie LiME i Volatility do zebrania zrzutu pamięci, a następnie jego analizy, wyodrębnienia historii Bash użytkownika ze zrzutu pamięci.
Co jeszcze?
Istnieje również pytanie i odpowiedzi U&L zatytułowane: Jak mogę zrzucić całą pamięć systemową? który zawiera dodatkowe przykłady i informacje.
źródło
rekall
Sprawdź framework rekall , mają do tego celu aplikację linpmem: http://www.rekall-forensic.com/docs/Tools/index.html
The SANS Rekall pamięć kryminalistycznych Cheatsheet ma przykład, jak zrzucić pamięci pod Linuksem też:
źródło
źródło