One Article Review
| Source |  AlienVault Lab Blog |
|---|---|
| Identifiant | 8526464 |
| Date de publication | 2024-06-27 10:00:00 (vue: 2024-06-27 10:06:43) |
| Titre | Analyse du vidage de mémoire: Utilisation de la chaux pour l'acquisition et la volatilité pour la configuration initiale Memory Dump Analysis: Using LiME for Acquisition and Volatility for Initial Setup |
| Texte | Le contenu de ce post est uniquement la responsabilité de l'auteur. & nbsp;LevelBlue n'adopte ni n'approuve aucune des vues, positions ou informations fournies par l'auteur dans cet article. & Nbsp;
L'analyse du vidage de mémoire est un aspect crucial de la criminalistique numérique, offrant un instantané de la mémoire volatile d'un système à un moment spécifique.Cela peut révéler des preuves critiques telles que les processus en cours d'exécution, les connexions de réseau ouvertes et l'exécution de logiciels malveillants en mémoire que l'analyse du disque pourrait manquer.Dans un précédent blog , nous avons appris à utiliser le FMEM pour l'acquisition de la mémoire volatile.Dans ce blog, nous explorerons comment créer des vidages de mémoire à l'aide de chaux (extracteur de mémoire Linux) et comment commencer par notre processus d'analyse en utilisant le cadre de volatilité dans nos prochains blogs.
Qu'est-ce que la chaux?
Un module de noyau chargé (LKM) qui permet une acquisition de mémoire volatile à partir de périphériques basés sur Linux et Linux, tels que Android.Cela rend la chaux unique car c'est le premier outil qui permet des captures de mémoire complète sur les appareils Android.Il minimise également son interaction entre les processus d'espace utilisateur et du noyau pendant l'acquisition, ce qui lui permet de produire des captures de mémoire qui sont plus judiciques que celles d'autres outils conçus pour l'acquisition de mémoire Linux.
Pourquoi l'analyse du vidage de mémoire est-elle importante?
L'analyse du vidage de mémoire est vitale en médecine légale numérique pour plusieurs raisons:
Découvrir les données cachées: RAM contient des données transitoires non stockées sur le disque, telles que les clés de chiffrement et les logiciels malveillants en mémoire.
Comprendre l'état du système: Les vidages de mémoire fournissent un snapot des processus actifs, des fichiers ouverts et des connexions réseau.
détection d'activité malveillante: L'analyse peut révéler la présence et le comportement des logiciels malveillants qui fonctionnent principalement en mémoire.
Installation et configuration de chaux
Pour utiliser la chaux, vous devez le construire à partir de la source.Suivez ces étapes pour installer et configurer la chaux:
Clone Le référentiel de chaux: Pour clone dans le référentiel de chaux, vous pouvez utiliser Git Clone:
Git Clone https://github.com/504ensicslabs/lime.git
Assurez-vous que les en-têtes de noyau Linux et les outils de construction sont installés.
Pour installer des éléments essentiels de construction, vous pouvez utiliser: sudo apt installer build-essentiel
maintenant, accédez au sous-répertoire SRC sous Lime Directory:
cd chaux / src
compiler le module de chaux:
Maintenant, utilisez Make pour compiler le module de chaux:
faire
Chargez le module:
Utilisez INSMOD pour charger le module dans le noyau.
|
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | 168 192 2:4444 4444 acquire acquisition active activity: address adopt advanced after allows also analysis analysis: analyzing android any apt are argument article aspect aspects author based begin behavior below between blog blogs build can capture captures check clone clone: com/504ensicslabs/lime com/volatilityfoundation/volatility3 command compile connections contains content create critical crucial data data: dependencies designed desired detecting devices different digital directory directory: disk does dump dump: dumps during effectively either encryption endorse enhancing ensure essential essentials evidence execution explore extractor file file: files first fmem follow followed following forensically forensics format format=lime format=raw formats framework from full further gave git going guide have headers help here’s hidden how https://github important incident information initial insights insmod install installed installing interaction it: its kernel keys knowledge learnt levelblue lime lime/src lime: linux lkm load loadable locally look machine make makes malicious malware mem memory might minimizes miss module module: more navigate need network network: next not now offering offers open operates other over path path=/path/to/dump path=tcp:192 plugins point port positions post powerful presence previous primarily process processes produce provide provided python3 ram range reasons: receiving replace repository repository: required response responsibility reveal running save screenshot section see set setting setup several snapot snapshot solely sound source space specific specify src state: steps stored subdirectory such sudo supports system technique than them these those time tool tools transient uncover uncovering under understanding unique upcoming use use: user using valuable various views vital vol volatile volatility volatility3 volatility: wanted ways what which why wide will you your |
| Tags | Malware Tool Mobile |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.