it-swarm.com.de

Wie kann ich in Linux physischen Speicher sichern?

Wie würde man einen Speicherauszug des physischen Speichers (RAM) in Linux erstellen?

Welche Software ist für diesen Zweck verfügbar?

Ich habe gelesen, dass man nicht auf eine lokale Platte schreiben soll, sondern die Daten über das Netzwerk senden soll. Kennt jemand die Besonderheiten hier? Würde Ethernet für diesen Zweck funktionieren, oder gibt es Befehle, die den Caching-Aufwand vor dem Senden an die Festplatte minimieren?

WinHex unter Windows bietet folgende Funktionen:

enter image description here

Ich suche etwas ähnliches unter Linux.

22
Anonymous

Hier ist eine eHow-Seite über Linux-Speicher sichern

Linux stellt zu diesem Zweck zwei virtuelle Geräte zur Verfügung, '/dev/mem' und '/dev/kmem', obwohl viele Distributionen sie aus Sicherheitsgründen standardmäßig deaktivieren. '/dev/mem' ist mit dem physischen Systemspeicher verknüpft, während '/dev/kmem' dem gesamten virtuellen Speicherbereich einschließlich aller Auslagerungsdateien zugeordnet ist. Beide Geräte arbeiten als reguläre Dateien und können mit dd oder einem anderen Dateibearbeitungsprogramm verwendet werden.

Das führt zur ForensicsWiki-Seite über Memory Imaging Tools mit dem Linux/Unix-Abschnitt ,

  1. dd Auf Unix-Systemen kann das Programm dd verwendet werden, um den Inhalt des physischen Speichers mithilfe einer Gerätedatei (z. B./dev/mem und/dev/kmem) zu erfassen. In neueren Linux-Kerneln ist/dev/kmem nicht mehr verfügbar. In noch neueren Kerneln gelten für/dev/mem zusätzliche Einschränkungen. In der neuesten Version ist/dev/mem ebenfalls nicht mehr standardmäßig verfügbar. In der gesamten 2.6-Kernel-Serie ging der Trend dahin, den direkten Zugriff auf den Speicher über Pseudo-Device-Dateien zu reduzieren. Siehe zum Beispiel die Meldung zu diesem Patch: http://lwn.net/Articles/267427/ . Auf Red Hat-Systemen (und abgeleiteten Distributionen wie CentOS) kann der Absturztreiber geladen werden, um ein Pseudogerät für den Speicherzugriff zu erstellen ("modprobe crash").
  2. Second Look Dieses kommerzielle Speicheranalyseprodukt kann Speicher von Linux-Systemen entweder lokal oder von einem Remote-Ziel über DMA oder über das Netzwerk abrufen. Es wird mit vorkompilierten PMAD-Modulen (Physical Memory Access Driver) für Hunderte von Kerneln der am häufigsten verwendeten Linux-Distributionen geliefert.
  3. Idetect (Linux)
  4. fmem (Linux)
    fmem ist ein Kernelmodul, das device/dev/fmem erstellt, ähnlich wie/dev/mem, jedoch ohne Einschränkungen. Dieses Gerät (physischer RAM) kann mit dd oder einem anderen Tool kopiert werden. Funktioniert auf 2.6 Linux-Kerneln. Unter GNU GPL.
  5. Goldfisch
    Goldfish ist ein forensisches Live-Tool für Mac OS X, das nur von Strafverfolgungsbehörden verwendet wird. Sein Hauptzweck ist es, eine benutzerfreundliche Schnittstelle bereitzustellen, um das System RAM eines Zielcomputers über eine Firewire-Verbindung zu sichern. Anschließend werden automatisch das aktuelle Anmeldekennwort des Benutzers und alle möglicherweise verfügbaren offenen AOL Instant Messenger-Konversationsfragmente extrahiert. Die Strafverfolgung kann goldfish.ae kontaktieren, um Informationen zum Download zu erhalten.

Siehe auch: Linux-Speicheranalyse .
Es gibt auch GDB, die auf den meisten Linux-Betriebssystemen allgemein verfügbar sind.
Und es wird immer empfohlen, nicht über unbekannten Speicher zu schreiben - dies kann zur Beschädigung des Systems führen.

22
nik

Die Volatilität scheint gut zu funktionieren und ist Windows- und Linux-kompatibel.

Von ihrer Website:

Volatility unterstützt Speicherabbilder von allen wichtigen 32- und 64-Bit-Windows-Versionen und Service Packs, einschließlich XP, 2003 Server, Vista, Server 2008, Server 2008 R2 und Seven. Unabhängig davon, ob es sich bei Ihrem Speicherabbild um ein Raw-Format, ein Microsoft-Absturzabbild, eine Ruhezustandsdatei oder einen Snapshot einer virtuellen Maschine handelt, kann Volatility damit arbeiten. Wir unterstützen jetzt auch Linux-Speicherabbilder im Raw- oder Lime-Format und enthalten über 35 Plug-ins für die Analyse von 32- und 64-Bit-Linux-Kerneln von 2.6.11 - 3.5.x und Distributionen wie Debian, Ubuntu, OpenSuSE, Fedora, CentOS und Mandrake. Wir unterstützen 38 Versionen von Mac OSX-Speicherabbildern von 10.5 bis 10.8.3 Mountain Lion, sowohl 32- als auch 64-Bit. Android-Telefone mit ARM Prozessoren werden ebenfalls unterstützt.

4
Patel95

Second Look ist eine gute und einfache Möglichkeit, Speicher in Linux zu sichern: http://secondlookforensics.com/ .

Es gibt auch ein kürzlich veröffentlichtes Kernel-Modul namens Lime: http://code.google.com/p/Lime-forensics/

3
Andrew Tappert