[SOLUCIONADO] Memory dumps en linux...?

Iniciado por Hu3c0, Julio 07, 2016, 06:30:19 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Julio 07, 2016, 06:30:19 PM Ultima modificación: Julio 09, 2016, 08:03:39 AM por blackdrake
Hola estimados amigos de Underc0de estoy buscando información sobre como obtener un dump de memoria en Linux, en el camino de mi investigación privada he llegado hasta github LIME pero no he encontrado ningún tutorial de instalación.

Si alquien tiene conocimiento sobre el tema de esta u otra forma es decir como obtener el dump de memoria se lo agradecería, si se preguntan el porqué quiero el dump es porque estoy leyendo sobre volatility y quiero hacer mis experimentos para ello necesito obtener un archivo .raw  para posteriormente analizarlo.

Gracias de antemano  ( ͡° ͜ʖ ͡°)
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Julio 07, 2016, 08:42:48 PM #1 Ultima modificación: Julio 07, 2016, 08:48:55 PM por grep
La documentación la encuentras en el mismo repositorio:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En estos momentos no estoy usando un SO Linux para probar, pero te brindo esta guía.
Quizás este proyecto ya tenga un precompilado para una distro, no he investigado. Si ya lo tienes, observa los pasos para ejecutar.


COMPILAR E INSTALAR
Como dice la misma, es un módulo de kernel, y debes ejecutar los siguientes comandos para compilar e instalar:

NOTA: estos pasos son para una computadora con Linux, no para un dispositivo Android.

1.- Descarga las fuentes y te mueves al directorio donde se encuentra el Makefile, osea el directorio root del proyecto:
2.- Ejecutas el siguiente comando, que es para compilar un módulo de kernel:

$ make -C /lib/modules/`uname -r`/build M=$PWD

NOTA: /lib/modules/`uname -r`/build suele ser el directorio de tu sistema donde tienes las sources de tu kernel linux.

3.- Ya tienes compiladas las fuentes, ahora instalas el módulo con el siguiente comando:

$ sudo make -C /lib/modules/`uname -r`/build M=$PWD modules_install

esto instala el módulo por defecto en /lib/modules/<kernel_release>/extra/

4.- Crea los archivos .dep y .map para calcular dependencias y servicios (símbolos) exportados:

$ sudo depmod


EJECUTAR
Para ejecutar, en tu computadora, puedes elejir entre estas dos alternativas (utilizando el comando insmod o modprobe para cargar un módulo de kernel):

a.- Obtener el dump a traves de TCP:

$ sudo modprobe lime "path=tcp:4444 format=raw"

y para obtener los datos puedes ejecutar netcat:

$ nc localhost 4444 > ram.raw

b.- Obtener el dump de forma directa a un archivo:

$ sudo modprobe lime "path=/<algun directorio>/ram.raw format=raw"

Saludos
Julio 09, 2016, 07:29:29 AM #2
Excelente respuesta muchísimas gracias @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta , se puede  dar por concluido el tema [close thread]
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario