Leitura da memória em tempo real
Publicado por Lucas de Souza Rodrigues em 01/10/2010
[ Hits: 14.830 ]
Leitura da memória em tempo real
1) Instalação do aplicativo MEMDUMP
MEMDUMP - Programa que permite varrer a memória ram, extraindo informações e dados existentes na memória física existente, porém o programa não captura todos os dados da memória e sim alguns buracos encontrados e permitidos no mapeamento da mesma. Por padrão a varredura da memória e definida por 2 caminhos:
- /dev/mem (memória física)
- /dev/kmem (memória virtual)
Para a instalação do MEMDUMP, seguem os passos via apt-get:
# apt-get install memdump
* Caso você não possua o decodificador, ou melhor, a ferramenta strings, faça a instalação da mesma.
# apt-get install strings*
Ou ainda:
# apt-get install g++ gcc (instalação de C/C++ em sua distribuição)
2) Varredura dos dados
Feito o passo 1, faça a varredura dos dados existentes na memória ram:
# memdump </dev/mem> mem.dump
* Esta operação só é permitida em modo "root"
* Veja que o memdump está lendo os dados "/dev/mem" e armazenando em um arquivo "mem.dump"
3) Ler dados capturados
Neste passo utilizamos a ferramenta "strings" para manipular e decodificar os dados extraídos da memória, entretanto existem várias maneiras para e tipos de busca de informação dentro do arquivo "*.dump".
Leitura do arquivo por completo:
# strings mem.dump
Leitura do arquivo com busca em caracteres ou palavras:
# strings mem.dump | grep twitter
# strings mem.dump | grep Processor
Conclusão
Portanto fica a dica para você testar e brincar com os dados do seu sistema, é notável também saber que mesmo que você delete ou remova os dados do seus disco rígido ou até mesmo pendrives, CDs etc, existe sempre uma possibilidade de verificar rastros pelo seu sistema.Este post encontra-se também em meu blog: http://calusbr.wordpress.com
Att
Lucas de Souza Rodrigues
E-mail: calusbr@gmail.com
Extraindo arquivos de websites facilmente
Redirecionar a porta 80 para 3128 com iptables, menos a tua máquina
Kernel for Newbies - seu assistente de compilação do Kernel em 10 simples passos
Modem USB Giant D301 - GSM/3G no Ubuntu 8.04
Script para verificar LOGs do Squid e selecionar páginas a serem bloqueadas
Ótima dica, ainda mais para quem tem interesse em forense computacional.
Patrocínio
Destaques
Artigos
O Editor de Texto Nano: Simplicidade no Terminal
SynapSeq - programa para estimular as ondas cerebrais
Por que seu __DIR__ falhou ou o "inferno" dos caminhos no PHP
Preparando-se para certificações da LPI através do LPI Lab
Migração de Arch Linux para repositórios CachyOS (Uso de Instruções v3 e v4)
Dicas
Jogando "Magic" gratuitamente no Linux
Zoxide e fzf no bash para incrementar o uso do Terminal
As diferencas entre o clipboard comum e a selecao ativa
Arch Linux com repos do CachyOS para otimização ou usar Gentoo?
Tópicos
[pedido] biglinux versao 1 (0)
A falsa sensação de que entende a tal da palavra! (1)
Eu aprendi o segredo das artes! hahaha (5)
Top 10 do mês
-
Xerxes
1° lugar - 136.948 pts -
Fábio Berbert de Paula
2° lugar - 68.685 pts -
Buckminster
3° lugar - 46.792 pts -
Alberto Federman Neto.
4° lugar - 37.091 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
5° lugar - 23.738 pts -
edps
6° lugar - 23.472 pts -
Sidnei Serra
7° lugar - 22.954 pts -
Daniel Lara Souza
8° lugar - 21.951 pts -
Mauricio Ferrari (LinuxProativo)
9° lugar - 20.900 pts -
Andre (pinduvoz)
10° lugar - 17.570 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
