আমি উইন্ডোজ মেমরি ইমেজ ডাম্প করতে জানি। (যেমন-ডাম্পিট) তবে আমি জানি না কীভাবে লিনাক্সে মেমরি চিত্রগুলি ডাম্প করতে হয়।

আমি লিনাক্সে এবং লিনাক্স থেকে লিনাক্সে এসএসএস সংযোগ বা কোনও কিছুর সাথে মেমরি চিত্র পেতে চাই।

আমি কীভাবে লিনাক্সে পেতে পারি?

ফরেনসিকের উইকি থেকে: সরঞ্জামগুলি: মেমরি ইমেজিং

উদ্ধৃতাংশ

লিনাক্স

আপনার / dev / Mem

পুরানো লিনাক্স সিস্টেমে, ডিডি প্রোগ্রামটি ডিভাইস ফাইল / ডিভ / মেম থেকে শারীরিক মেমরির বিষয়বস্তু পড়তে ব্যবহার করা যেতে পারে । সাম্প্রতিক লিনাক্স সিস্টেমে, / dev / mem সিস্টেমের সম্পূর্ণ শারীরিক মেমরির পরিবর্তে কেবলমাত্র একটি সীমিত পরিসরে ঠিকানাগুলিতে অ্যাক্সেস সরবরাহ করে। অন্যান্য সিস্টেমে এটি উপলব্ধ নাও হতে পারে। লিনাক্স কার্নেলের ২.6 সিরিজ জুড়ে, প্রবণতাটি ছিল সিউডো-ডিভাইস ফাইলগুলির মাধ্যমে মেমরিতে সরাসরি অ্যাক্সেস হ্রাস করার। উদাহরণস্বরূপ, এই প্যাচটির সাথে থাকা বার্তাটি দেখুন: http://lwn.net/Articles/267427/ ।

আপনার / dev / ক্র্যাশ

রেড হ্যাট সিস্টেমে (এবং যারা সম্পর্কিত ডিস্ট্রোগুলি যেমন ফেডোরা বা সেন্টোস চালিয়ে যাচ্ছেন), ক্র্যাশ ড্রাইভারকে কাঁচা শারীরিক মেমরি অ্যাক্সেসের জন্য সিডো-ডিভাইস / ডিভ / ক্র্যাশ তৈরি করতে লোড করা যেতে পারে (কমান্ড "মোডপ্রোব ক্র্যাশ") দিয়ে। এই মডিউলটি অপেক্ষাকৃত ছোট পরিশ্রমের সাথে অন্যান্য লিনাক্স বিতরণগুলির জন্যও সংকলিত করা যায় (উদাহরণস্বরূপ, http://gleeda.blogspot.com/2009/08/devcrash-driver.html )। ক্র্যাশ ড্রাইভারটি অন্য সিস্টেমে সংশোধন, সংকলন এবং লোড করা হলে ফলস্বরূপ মেমরি অ্যাক্সেস ডিভাইস সম্পূর্ণরূপে চিত্রটিতে নিরাপদ থাকে না। র্যাম-ব্যাকড নয় এমন ঠিকানাগুলি এড়াতে অবশ্যই যত্ন নেওয়া উচিত। লিনাক্সে, / proc / iomem চিত্রটিতে সঠিক ঠিকানা ব্যাপ্তি প্রকাশ করে, "সিস্টেম র‌্যাম" দ্বারা চিহ্নিত।

দ্বিতীয় চেহারা: লিনাক্স মেমরি ফরেনসিক

এই বাণিজ্যিক মেমরি ফরেনসিক পণ্য জাহাজগুলি ক্র্যাশ ড্রাইভারের একটি পরিবর্তিত সংস্করণ এবং কোনও প্রদত্ত লিনাক্স সিস্টেমে আসল বা পরিবর্তিত ড্রাইভার ব্যবহার করে মেমরিটি নিরাপদে ডাম্প করার জন্য একটি স্ক্রিপ্ট রয়েছে।

fmem fmem - github repo

fmem একটি কার্নেল মডিউল যা ডিভাইস / dev / fmem তৈরি করে / dev / মেমের অনুরূপ তবে সীমাবদ্ধতা ছাড়াই। এই ডিভাইসটি (শারীরিক র‌্যাম) ডিডি বা অন্যান্য সরঞ্জাম ব্যবহার করে অনুলিপি করা যেতে পারে। 2.6 লিনাক্স কার্নেলগুলিতে কাজ করে। জিএনইউ জিপিএল এর অধীনে।

লিমি - লিনাক্স মেমরি এক্সট্র্যাক্টর

লিনাক্স মেমোরি এক্সট্র্যাক্টর (LiME) একটি লোডেবল কার্নেল মডিউল (এলকেএম), যা লিনাক্স এবং লিনাক্স-ভিত্তিক ডিভাইসগুলি যেমন অ্যান্ড্রয়েড দ্বারা চালিতগুলির থেকে অস্থির মেমরি অর্জনের অনুমতি দেয়। ডিভাইসটির ফাইল সিস্টেম বা নেটওয়ার্কের মাধ্যমে ডাম্পিং মেমরিটিকে এই সরঞ্জামটি সমর্থন করে।

আমি fmemব্যবহারের এই উদাহরণটি পেয়েছি , যা বিশ্লেষণের উদ্দেশ্যে মেমরি ডাম্প করার সবচেয়ে সহজ উপায় বলে মনে হচ্ছে, আপনি আর /dev/mem2.6.x কার্নেলের পরে আর ব্যবহার করতে পারবেন না , কারণ আমি এটি বুঝতে পেরেছি।

fmem উদাহরণ

$ ./run.sh
...
----Memory areas: -----
reg00: base=0x000000000 (    0MB), size= 1024MB, count=1: write-back
reg01: base=0x0c8800000 ( 3208MB), size=    2MB, count=1: write-combining
-----------------------
!!! Don't forget add "count=" to dd !!!


$ ls /dev/f*
/dev/fb0  /dev/fd0  /dev/fmem  /dev/full  /dev/fuse


$ sudo dd if=/dev/fmem of=/tmp/fmem_dump.dd bs=1MB count=10
10+0 records in
10+0 records out
10000000 bytes (10 MB) copied, 0.0331212 s, 302 MB/s

* উত্স: আমি কীভাবে কোনও ফাইলের সমস্ত শারীরিক স্মৃতি ফেলে দিতে পারি?

LiME উদাহরণ

অস্থির স্মৃতি বিশ্লেষণের জন্য এই পৃষ্ঠাটি রয়েছে, শিরোনাম: লিনাক্স মেমরি বিশ্লেষণ । এই ভিডিও টিউটোরিয়ালে একটি পুরো উদাহরণ রয়েছে যা মেমরি ডাম্প সংগ্রহ করতে এবং তারপরে বিশ্লেষণ করতে LiME এবং অস্থিরতার ব্যবহার দেখায় এবং মেমরি ডাম্প থেকে ব্যবহারকারীর বাশ ইতিহাস বের করে।

• লিনাক্স মেমরি বিশ্লেষণ করতে LiME এবং অস্থিরতা ব্যবহার করা

আর কি?

এই ইউঅ্যান্ডএল প্রশ্নোত্তর শিরোনামটিও রয়েছে: আমি কীভাবে পুরো সিস্টেমের মেমরিটি ফেলে দিতে পারি? যার অতিরিক্ত উদাহরণ এবং তথ্য রয়েছে।

rekall

পরীক্ষা করে দেখুন rekall : ফ্রেমওয়ার্ক, তারা এই কাজের জন্য একটি linpmem আবেদন করা হবে http://www.rekall-forensic.com/docs/Tools/index.html

SANS rekall মেমরির ফরেনসিক cheatsheet কিভাবে লিনাক্স অধীনে মেমরির ডাম্প খুব একটি উদাহরণ রয়েছে:

# ./linpmem_2.0.1 -o linux.aff4

dc3dd if=/proc/kcore of=/mount/.