هل تبحث عن شيئ معين في المدونة ؟ اكتب الجملة أو الكلمة التي تريد البحث عنها، واضغط Enter
اضف تعليق

اكتب عن أمن المعلومات والتحقيق الجنائي الرقمي | مدونة شخصية

forensics memory acquisition لانظمه لينكس

اخذ صوره من الذاكرة في انظمه وندوز امر سهل للغاية ويتم عن طريق اي اداة مثل ftk imager lite او اداة Memoryze . ولكن الامر مختلف قليلا في لينكس بسبب ان لينكس يمنع الوصول المباشر الى الذاكرة لزيادة الحماية, لذلك لا نستطيع ببساطة فتح اداة ونجمع بيانات الذاكرة. لكي نتمكن من الوصول الى الذاكرة يجب ان نستخدم ما يسمى loadable kernel module والتي اذا اُستخدمت مع الكرنل سوف تمكنا من الوصول الى الذاكرة واخذ صوره كاملة. افضل اداة تقوم بعمل ذلك هي linux memory extractor والتي تعرف بـ LiME.

أستخدام اداة LiME :

بما أن عملية الوصول الى الذاكرة تتطلب LKM فذلك يعني ان كل اصدار من اصدارات الكيرنل يكون له LKM مختلف, لذلك يجب علينا ان نقوم بتجهيز LKM بنفس اصدار كيرنل جهاز المشبته. لنتفرض ان لدينا جهاز مشتبه يعمل بنظام ubuntu 14.04 سوف نقوم بتنزيل الاداة في جهاز اخر في المعمل الخاص بنا يحمل نفس النظام ونفس الاصدار وننزل اداة LiME ونعمل لها compilation لكي نحصل على ملف LKM.

الخطوات :

  • قم بتنزيل الاداة من صفحه الـ github
  • قم بفك الضغط والدخول الى ملف src
  • قم بكتابة الامر make
  • اذا كل شيء تم بشكل جيد سوف تجد ملف يحمل الامتداد ko. والاسم هو اصدار الكيرنل مثل lime-3.0.0-12-generic.ko
  • هذا الملف يتم نسخه واخذه الى جهاز المشتبه
  • نقوم الان باستخدام الملف مع امر insom والذي يعني insert module لكل يتمكن من الوصول الى الذاكرة عن طريق الامر التالي :

sudo insmod ./lime.-3.0.0-12-generic.ko path=memory.lime format=raw

بعد تنفيذ الامر سوف يتم اخذ صوره كاملة من الذاكرة ووضعها نفس مسار الذي تم تنفيذ الامر فيه . احرص على تنفيذ الامر من داخل الـ USB الخاص بك . الاداة لا توفر اي طريقة لاخذ هاش من الذاكرة اثناء تحميلها ولذلك ببساطة لان الذاكرة تتغير بشكل مستمر, اذا تم اخذ صوره من الذاكرة الان بعد ثانيه الذاكرة تتغير بسبب انها تعمل وتحتوي على نظام التشغيل, سوف تتغير البيانات لذلك فور انتهائك من اخذ صوره النظام قم باخذ هاش باستخدام امر md5sum .

الاداة ايضا توفر لك ميزه نقل الذاكرة عن طريق الشبكه اثناء اخذ البيانات وحفظها في جهاز اخر على الشبكه .

لا يوجد تعليقات على هذه المقالة

اضف تعليق