Nuestro objetivo es recolectar la mayor información posible de memoria y con esta serie de herramientas va ser posible hacerlo bajo linux, pero primero que pretendemos?:
- ¿Qué código y los datos que reside actualmente en la memoria.
- Puedes buscar los PID específicos memoria.
- Memoria Búsqueda de cuerda y otros datos como contraseñas.
- Funciona como herramienta add-on para gdb y otros.
- Buscar / reemplazar la memoria / volcado de procesos y archivos del núcleo en ejecución.
- Todo tipo de actividades de hacking profundas que simplemente ahorra tiempo y resolver problemas
Herramientas:
LiME (Linux Memory Extractor)
LiME (antes DMD) es un módulo cargable del núcleo (LKM), que permite la adquisición de la memoria volátil de Linux y los dispositivos basados en Linux, como los que funcionan con Android. La herramienta es compatible con la adquisición de memoria, ya sea para el sistema de archivos del dispositivo o en la red. La cal es único, ya que es la primera herramienta que permite que la memoria completa captura de los dispositivos Android.También minimiza su interacción entre los procesos de usuario y espacio de núcleo durante la adquisición, que le permite producir capturas de memoria que son más forense de sonido que los de otras herramientas diseñadas para la adquisición de memoria de Linux.
Descargar Lime
LiME (antes DMD) es un módulo cargable del núcleo (LKM), que permite la adquisición de la memoria volátil de Linux y los dispositivos basados en Linux, como los que funcionan con Android. La herramienta es compatible con la adquisición de memoria, ya sea para el sistema de archivos del dispositivo o en la red. La cal es único, ya que es la primera herramienta que permite que la memoria completa captura de los dispositivos Android.También minimiza su interacción entre los procesos de usuario y espacio de núcleo durante la adquisición, que le permite producir capturas de memoria que son más forense de sonido que los de otras herramientas diseñadas para la adquisición de memoria de Linux.
Descargar Lime
Draugr
Mediante el uso de / dev / (k) mem o un volcado de memoria, Draugr se puede utilizar para acceder fácilmente en python a esta memoria, reproducir (leer, escribir, desensamblar, búsqueda) con ella … y puede encontrar la información del sistema (procesos. ..) por diferentes métodos. Se puede encontrar los símbolos del kernel (coincidencia de patrones en un archivo XML o con EXPORT_SYMBOL), procesos (Informaciones y secciones) (por la lista enlazada kernel o fuerza bruta) y desmontar / volcado de la memoria.
Descargar draugr
Mediante el uso de / dev / (k) mem o un volcado de memoria, Draugr se puede utilizar para acceder fácilmente en python a esta memoria, reproducir (leer, escribir, desensamblar, búsqueda) con ella … y puede encontrar la información del sistema (procesos. ..) por diferentes métodos. Se puede encontrar los símbolos del kernel (coincidencia de patrones en un archivo XML o con EXPORT_SYMBOL), procesos (Informaciones y secciones) (por la lista enlazada kernel o fuerza bruta) y desmontar / volcado de la memoria.
Descargar draugr
Volatilitux
Volatilitux es más o menos el equivalente de la volatilidad para los sistemas Linux.Volatilitux soporta las siguientes arquitecturas de memoria física vertederos:
* ARM
* x86
* x86 con PAE habilitado
Es compatible con los siguientes comandos:
* pslist: imprimir la lista de todos los procesos
* memmap: imprimir el mapa de memoria de un proceso
* memdmp: volcar la memoria direccionable de un proceso
* filelist: imprimir la lista de todos los archivos abiertos para un proceso dado
* filedmp: volcar un archivo abierto
Volatilitux es más o menos el equivalente de la volatilidad para los sistemas Linux.Volatilitux soporta las siguientes arquitecturas de memoria física vertederos:
* ARM
* x86
* x86 con PAE habilitado
Es compatible con los siguientes comandos:
* pslist: imprimir la lista de todos los procesos
* memmap: imprimir el mapa de memoria de un proceso
* memdmp: volcar la memoria direccionable de un proceso
* filelist: imprimir la lista de todos los archivos abiertos para un proceso dado
* filedmp: volcar un archivo abierto
Memfetch
Es una sencilla utilidad para volcar toda la memoria de un proceso que se ejecuta de forma inmediata o cuando se descubre una condición de falla. Es una alternativa atractiva a las capacidades de búsqueda de gran inferioridad de muchos depuradores y trazadores – y una manera conveniente de tomar “imágenes” de muchos tipos de servicios interactivos basados en texto. Para instalar memfetch:
# # # # FreeBSD
pkg_add-r-v memfetch
# # Otro usuario * nix descargarlo desde la siguiente url # #
wget http://lcamtuf.coredump.cx/soft/memfetch.tgz
tar xvf memfetch.tgz
cd memfetch && hacer
Es una sencilla utilidad para volcar toda la memoria de un proceso que se ejecuta de forma inmediata o cuando se descubre una condición de falla. Es una alternativa atractiva a las capacidades de búsqueda de gran inferioridad de muchos depuradores y trazadores – y una manera conveniente de tomar “imágenes” de muchos tipos de servicios interactivos basados en texto. Para instalar memfetch:
# # # # FreeBSD
pkg_add-r-v memfetch
# # Otro usuario * nix descargarlo desde la siguiente url # #
wget http://lcamtuf.coredump.cx/soft/memfetch.tgz
tar xvf memfetch.tgz
cd memfetch && hacer
Utilidad Crash desde Red Hat, Inc
La suite de análisis de núcleos es una herramienta de auto-contenido que se puede utilizar para investigar, mediante sistemas vivos, volcados del núcleo del kernel creados a partir de los netdump, diskdump y kdump paquetes de Red Hat Linux, el parche del kernel mcore ffered por Mission Critical Linux, o el LKCD parche del kernel. Esta herramienta puede ser utilizada para el análisis forense de memoria. Para instalar:
# # RHEL / CentOS # #
Yum instalar accidente
# # Novell / Suse / OpenSUSE # #
zypper instalar yast2-kdump
La suite de análisis de núcleos es una herramienta de auto-contenido que se puede utilizar para investigar, mediante sistemas vivos, volcados del núcleo del kernel creados a partir de los netdump, diskdump y kdump paquetes de Red Hat Linux, el parche del kernel mcore ffered por Mission Critical Linux, o el LKCD parche del kernel. Esta herramienta puede ser utilizada para el análisis forense de memoria. Para instalar:
# # RHEL / CentOS # #
Yum instalar accidente
# # Novell / Suse / OpenSUSE # #
zypper instalar yast2-kdump
Memgrep
Una sencilla utilidad para buscar / reemplazar / memory dump de procesos y archivos del núcleo en ejecución. Para instalar:
# # # # FreeBSD
pkg_add-r-v memgrep
Una sencilla utilidad para buscar / reemplazar / memory dump de procesos y archivos del núcleo en ejecución. Para instalar:
# # # # FreeBSD
pkg_add-r-v memgrep
Memdump
Este programa volcados de memoria del sistema para el flujo de salida estándar, saltar sobre los agujeros en los mapas de memoria. Por defecto, el programa vuelca el contenido de la memoria física. Este software se distribuye bajo la Licencia Pública de IBM. Para instalar memdump:
# # Debian / Ubuntu Linux # #
sudo apt-get instalar memdump
# # # # FreeBSD
pkg_add-r-v memdupm
Este programa volcados de memoria del sistema para el flujo de salida estándar, saltar sobre los agujeros en los mapas de memoria. Por defecto, el programa vuelca el contenido de la memoria física. Este software se distribuye bajo la Licencia Pública de IBM. Para instalar memdump:
# # Debian / Ubuntu Linux # #
sudo apt-get instalar memdump
# # # # FreeBSD
pkg_add-r-v memdupm
Descargar desde repositorio de Ubuntu
foriana
Es otra herramienta para la extracción de información, como el proceso y las listas de los módulos de una imagen RAM utilizando las relaciones lógicas entre las estructuras del sistema operativo.
Es otra herramienta para la extracción de información, como el proceso y las listas de los módulos de una imagen RAM utilizando las relaciones lógicas entre las estructuras del sistema operativo.
Estas son algunas herramientas que se encuentran al día de hoy para investigación forense de memoria con núcleo Unix, esta recopilación de herramientas fue encontrada en el siguiente blog:
Fuente:
http://www.ipaudita.tk/2014/07/top-8-herramientas-para-buscar-en-la-memoria-bajo-linux-unix-analisis-forense/
Entradas
No hay comentarios:
Publicar un comentario