Mencoba mengakses RAM / dev / mem ... mengatakan “Pengoperasian tidak diizinkan”

9

Saya menggunakan Ubuntu 12.04

Saya membaca tutorial berikut tentang cara mengakses konten RAM di Linux ....

http://www.rootninja.com/using-dd-to-search-for-strings-in-memory-or-devices/

Kode:

dd if=/dev/mem | hexdump -C | grep “string to search for”

Jadi, saya menjalankan kode ...

Kode:

sudo dd if=/dev/mem | hexdump -C > NAMEOFOUTPUTFILEHERE.txt

Dan ... itu mulai memompa kode HEX, sampai beberapa detik kemudian, di mana dikatakan:

dd: reading `/dev/mem': Operation not permitted
2056+0 records in 
2056+0 records out
1052672 bytes (1.1 MB) copied, 0.44834 s, 2.3 MB/s

Jadi pada dasarnya .. Saya bisa mendapatkan sekitar 3,3 MB isi dump RAM - sampai program berhenti, mengatakan "Operasi tidak diizinkan"

Jadi saya bertanya-tanya mengapa saya tidak bisa membuang seluruh isi RAM? Apakah ini batasan yang disengaja di Ubuntu, untuk menghentikan peretas jahat? Atau, apakah itu sesuatu yang lain? Adakah yang tahu Terima kasih

linux memory dd hexdump
sumber
3
OK ... lupakan saja ... ternyata Ubuntu memiliki batas 1 MB pada ekstraksi RAM, seperti yang didefinisikan dalam kernel .. dan jelas, itu keamanan yang baik, karena dengan begitu seorang peretas tidak dapat mengekstrak kata sandi Anda dari RAM dll ... Jadi ... ya .... utas ini sekarang ASK Ini adalah info lengkap, untuk siapa pun yang tertarik ....
1
jika kernel Anda dikompilasi dengan STRICT_DEVMEM = y (lihat mis / boot / config-KERNELVERSION) maka hanya 1MB pertama yang dibaca dari / dev / mem. Ini bukan masalah versi kernel, sebagai hasil dari bagaimana kernel mesin Anda dikompilasi; sebagian besar kernel distro akan memiliki batasan ini untuk alasan yang baik. Anda dapat mengunduh dan memasukkan modul modul kernel forensik untuk menyelesaikannya; dengan risiko Anda sendiri! rmmod secepatnya setelah itu. Modul fmem menyediakan perangkat / dev / fmem tanpa batasan keamanan.
1
"Saya bisa mendapatkan sekitar 3,3 MB RAM dump content-". Uhm, kamu? Yang saya lihat adalah 1052672 bytes (1.1 MB) copied. Bukan 3.3MB (atau 2.3MB / detik yang merupakan kecepatan).
Hennes

Jawaban:

4

Kernel linux pada instalasi Ubuntu Anda dikirimkan dengan pengaturan * yang membatasi ekstraksi RAM hingga 1 MB.

Jika Anda tidak berharap Anda dapat mengkompilasi ulang kernel tanpa itu (jelas peringatan: Anda menurunkan keamanan!) Atau Anda dapat mengunduh dan memasukkan modul modul kernel forensik untuk mengatasinya. Itu menyediakan perangkat / dev / fmem tanpa keamanan apa pun.

Seperti yang disebutkan oleh Opello: Anda juga dapat menggunakan strict-devmem=0di cmdline kernel.

* : STRICT_DEVMEM=y(lihat mis. / boot / config-KERNELVERSION)

Hennes
sumber
3
Anda juga dapat meneruskan strict-devmem=0di cmdline kernel.
Opello
Hanya di Fedora dan distro terkait, jika * bahkan * hari ini
mirh