Leitura da memória em tempo real

Publicado por Lucas de Souza Rodrigues em 01/10/2010

[ Hits: 14.256 ]

0 0

Denuncie Favoritos Indicar Impressora

Leitura da memória em tempo real

Olá pessoal... Hoje vai uma dica rápida sobre como ler dados de uma memória (*ram) em tempo real. O primeiro passo para efetuar este procedimento é a utilização de um sistema para Linux, logo após a instalação de um aplicativo para a varredura dos dados existentes, e por fim um decifrador para ler o conteúdo capturado.

1) Instalação do aplicativo MEMDUMP

MEMDUMP - Programa que permite varrer a memória ram, extraindo informações e dados existentes na memória física existente, porém o programa não captura todos os dados da memória e sim alguns buracos encontrados e permitidos no mapeamento da mesma. Por padrão a varredura da memória e definida por 2 caminhos:

/dev/mem (memória física)
/dev/kmem (memória virtual)

Para a instalação do MEMDUMP, seguem os passos via apt-get:

# apt-get install memdump

* Caso você não possua o decodificador, ou melhor, a ferramenta strings, faça a instalação da mesma.

# apt-get install strings*

Ou ainda:

# apt-get install g++ gcc (instalação de C/C++ em sua distribuição)

2) Varredura dos dados

Feito o passo 1, faça a varredura dos dados existentes na memória ram:

# memdump </dev/mem> mem.dump

* Esta operação só é permitida em modo "root"
* Veja que o memdump está lendo os dados "/dev/mem" e armazenando em um arquivo "mem.dump"

3) Ler dados capturados

Neste passo utilizamos a ferramenta "strings" para manipular e decodificar os dados extraídos da memória, entretanto existem várias maneiras para e tipos de busca de informação dentro do arquivo "*.dump".

Leitura do arquivo por completo:

# strings mem.dump

Leitura do arquivo com busca em caracteres ou palavras:

# strings mem.dump | grep twitter
# strings mem.dump | grep Processor

Conclusão

Portanto fica a dica para você testar e brincar com os dados do seu sistema, é notável também saber que mesmo que você delete ou remova os dados do seus disco rígido ou até mesmo pendrives, CDs etc, existe sempre uma possibilidade de verificar rastros pelo seu sistema.

Este post encontra-se também em meu blog: http://calusbr.wordpress.com

Att
Lucas de Souza Rodrigues
E-mail: calusbr@gmail.com

Outras dicas deste autor

Extraindo arquivos de websites facilmente

Leitura recomendada

Resoveldo problema com proxy no Conectividade Social

Compilação Kernel 4.0.3 no Slackware

Screenshot usando o terminal

Gerenciador de Favoritos via linha de comando

Como contornar o erro -bash: 08: value too great for base (error token is "08")

Comentários

[1] Comentário enviado por luizvieira em 05/10/2010 - 09:28h

Ótima dica, ainda mais para quem tem interesse em forense computacional.

0 0