Как и в случае со снятием образа жесткого диска в Linux, существует несколько способов сделать дамп оперативной памяти в Linux. Среди вариантов:
Переходим в папку с утилитой и собираем ее из исходников:
Грузим драйвер ядра pmem.ko в оперативную память:
Проверяем инициализацию драйвера:
После этого драйвер создает файл-контейнер под наш будущий образ RAM: /dev/pmem.
Теперь с помощью все той же утилиты dd создаем сам образ оперативной памяти системы:
Ну и после завершения работы выгружаем драйвер:
Дело сделано!
- использование нативного модуля ядра Linux Memory Extractor (LiME);
- скрипт Linux Memory Grabber, который не требует установки и который можно запускать, к примеру, с флешки;
- связка утилит lmap и pmem, которые входят в пакет Rekall. Их-то я и буду использовать.
Переходим в папку с утилитой и собираем ее из исходников:
| 1 2 | $ cd rekall/tools/linux/ $ make |
| 1 | $ sudo insmod pmem.ko |
| 1 | $ sudo lsmod |
Теперь с помощью все той же утилиты dd создаем сам образ оперативной памяти системы:
| 1 | $ dd if=/dev/pmem of=forensic_RAM_image.raw |
| 1 | $ rmmod pmem |