Saya menggunakan Ubuntu 12.04
Saya membaca tutorial berikut tentang cara mengakses konten RAM di Linux ....
http://www.rootninja.com/using-dd-to-search-for-strings-in-memory-or-devices/
Kode:
dd if=/dev/mem | hexdump -C | grep “string to search for”
Jadi, saya menjalankan kode ...
Kode:
sudo dd if=/dev/mem | hexdump -C > NAMEOFOUTPUTFILEHERE.txt
Dan ... itu mulai memompa kode HEX, sampai beberapa detik kemudian, di mana dikatakan:
dd: reading `/dev/mem': Operation not permitted
2056+0 records in
2056+0 records out
1052672 bytes (1.1 MB) copied, 0.44834 s, 2.3 MB/s
Jadi pada dasarnya .. Saya bisa mendapatkan sekitar 3,3 MB isi dump RAM - sampai program berhenti, mengatakan "Operasi tidak diizinkan"
Jadi saya bertanya-tanya mengapa saya tidak bisa membuang seluruh isi RAM? Apakah ini batasan yang disengaja di Ubuntu, untuk menghentikan peretas jahat? Atau, apakah itu sesuatu yang lain? Adakah yang tahu Terima kasih
1052672 bytes (1.1 MB) copied
. Bukan 3.3MB (atau 2.3MB / detik yang merupakan kecepatan).Jawaban:
Kernel linux pada instalasi Ubuntu Anda dikirimkan dengan pengaturan * yang membatasi ekstraksi RAM hingga 1 MB.
Jika Anda tidak berharap Anda dapat mengkompilasi ulang kernel tanpa itu (jelas peringatan: Anda menurunkan keamanan!) Atau Anda dapat mengunduh dan memasukkan modul modul kernel forensik untuk mengatasinya. Itu menyediakan perangkat / dev / fmem tanpa keamanan apa pun.
Seperti yang disebutkan oleh Opello: Anda juga dapat menggunakan
strict-devmem=0
di cmdline kernel.* :
STRICT_DEVMEM=y
(lihat mis. / boot / config-KERNELVERSION)sumber
strict-devmem=0
di cmdline kernel.