「LiME」の版間の差分
提供: セキュリティ
(ページの作成:「LiME (Linux Memory Extractor, lime-forensics, 以前はDMD) とは、ローダブルカーネルモジュール (LKM) で、Linux や Android のよう...」) |
(相違点なし)
|
2013年9月26日 (木) 00:28時点における最新版
LiME (Linux Memory Extractor, lime-forensics, 以前はDMD) とは、ローダブルカーネルモジュール (LKM) で、Linux や Android のような Linux ベースのデバイスから揮発性メモリの取得を可能にします。
読み方
- LiME
- らいむ
- lime-forensics
- らいむ ふぉれんじくす
- Linux Memory Extractor
- りなっくす めもり えくすとらくたー
概要
このツールは、デバイスかネットワークを超えたファイルシステムにメモリを取得します。 LiME は、Android デバイスからの完全なメモリキャプチャができる最初のツールです。 メモリを取得する間、ユーザーとカーネルスペースプロセスの対話を最小化しています。
ダウンロード
インストール
事前に kernel-devel などをインストールします。
sudo yum install kernel kernel-headers kernel-devel
ビルド
mkdir lime cd lime wget \ http://lime-forensics.googlecode.com/files/lime-forensics-1.1-r17.tar.gz tar zxfp lime-forensics-1.1-r17.tar.gz cd src make
使い方
sudo insmod ./lime-2.6.32-358.18.1.el6.x86_64.ko \ "path=/var/tmp/memory.dd format=raw"
user@u1$ file /var/tmp/memory.dd /var/tmp/memory.dd: PGP encrypted data user@u1$ ls -l /var/tmp/memory.dd -r--r--r--. 1 root 1073215488 Sep 26 00:20 /var/tmp/memory.dd
ネットワーク越しに書き出す場合は、netcat を併用します。
ファイルを書き出すホスト
nc -l -vvv -p 444 > lime.dd
sudo insmod ./lime-2.6.32-358.18.1.el6.x86_64.ko \ "path=tcp:4444 format=raw" | nc 192.168.0.123 4444
注意事項
引数を忘れると、パラメータエラーになります。
$ sudo insmod ./lime-2.6.32-358.18.1.el6.x86_64.ko insmod: error inserting './lime-2.6.32-358.18.1.el6.x86_64.ko': -1 Invalid parameters