Hola estimados amigos de Underc0de estoy buscando información sobre como obtener un dump de memoria en Linux, en el camino de mi investigación privada he llegado hasta github LIME pero no he encontrado ningún tutorial de instalación.
Si alquien tiene conocimiento sobre el tema de esta u otra forma es decir como obtener el dump de memoria se lo agradecería, si se preguntan el porqué quiero el dump es porque estoy leyendo sobre volatility y quiero hacer mis experimentos para ello necesito obtener un archivo .raw para posteriormente analizarlo.
Gracias de antemano ( ͡° ͜ʖ ͡°)
La documentación la encuentras en el mismo repositorio:
https://github.com/504ensicsLabs/LiME
https://github.com/504ensicsLabs/LiME/tree/master/doc
En estos momentos no estoy usando un SO Linux para probar, pero te brindo esta guía.
Quizás este proyecto ya tenga un precompilado para una distro, no he investigado. Si ya lo tienes, observa los pasos para ejecutar.
COMPILAR E INSTALAR
Como dice la misma, es un módulo de kernel, y debes ejecutar los siguientes comandos para compilar e instalar:
NOTA: estos pasos son para una computadora con Linux, no para un dispositivo Android.
1.- Descarga las fuentes y te mueves al directorio donde se encuentra el Makefile, osea el directorio root del proyecto:
2.- Ejecutas el siguiente comando, que es para compilar un módulo de kernel:
$ make -C /lib/modules/`uname -r`/build M=$PWD
NOTA: /lib/modules/`uname -r`/build suele ser el directorio de tu sistema donde tienes las sources de tu kernel linux.
3.- Ya tienes compiladas las fuentes, ahora instalas el módulo con el siguiente comando:
$ sudo make -C /lib/modules/`uname -r`/build M=$PWD modules_install
esto instala el módulo por defecto en /lib/modules/<kernel_release>/extra/
4.- Crea los archivos .dep y .map para calcular dependencias y servicios (símbolos) exportados:
$ sudo depmod
EJECUTAR
Para ejecutar, en tu computadora, puedes elejir entre estas dos alternativas (utilizando el comando insmod o modprobe para cargar un módulo de kernel):
a.- Obtener el dump a traves de TCP:
$ sudo modprobe lime "path=tcp:4444 format=raw"
y para obtener los datos puedes ejecutar netcat:
$ nc localhost 4444 > ram.raw
b.- Obtener el dump de forma directa a un archivo:
$ sudo modprobe lime "path=/<algun directorio>/ram.raw format=raw"
Saludos