「LiME」の版間の差分

提供: セキュリティ
移動: 案内検索
(ページの作成:「LiME (Linux Memory Extractor, lime-forensics, 以前はDMD) とは、ローダブルカーネルモジュール (LKM) で、LinuxAndroid のよう...」)
 
(相違点なし)

2013年9月26日 (木) 00:28時点における最新版

LiME (Linux Memory Extractor, lime-forensics, 以前はDMD) とは、ローダブルカーネルモジュール (LKM) で、LinuxAndroid のような Linux ベースのデバイスから揮発性メモリの取得を可能にします。

読み方

LiME
らいむ
lime-forensics
らいむ ふぉれんじくす
Linux Memory Extractor
りなっくす めもり えくすとらくたー

概要

このツールは、デバイスかネットワークを超えたファイルシステムにメモリを取得します。 LiME は、Android デバイスからの完全なメモリキャプチャができる最初のツールです。 メモリを取得する間、ユーザーとカーネルスペースプロセスの対話を最小化しています。

ダウンロード

インストール

事前に kernel-devel などをインストールします。

sudo yum install kernel kernel-headers kernel-devel

ビルド

mkdir lime
cd lime
wget \
http://lime-forensics.googlecode.com/files/lime-forensics-1.1-r17.tar.gz
 
tar zxfp lime-forensics-1.1-r17.tar.gz
cd src
make

使い方

sudo insmod ./lime-2.6.32-358.18.1.el6.x86_64.ko \
"path=/var/tmp/memory.dd format=raw"


user@u1$ file /var/tmp/memory.dd
/var/tmp/memory.dd: PGP encrypted data
user@u1$ ls -l /var/tmp/memory.dd
-r--r--r--. 1 root 1073215488 Sep 26 00:20 /var/tmp/memory.dd

ネットワーク越しに書き出す場合は、netcat を併用します。

ファイルを書き出すホスト

nc -l -vvv -p 444 > lime.dd
sudo insmod ./lime-2.6.32-358.18.1.el6.x86_64.ko \
"path=tcp:4444 format=raw" | nc 192.168.0.123 4444

注意事項

引数を忘れると、パラメータエラーになります。

$ sudo insmod ./lime-2.6.32-358.18.1.el6.x86_64.ko
insmod: error inserting './lime-2.6.32-358.18.1.el6.x86_64.ko': -1 Invalid parameters

関連項目