리눅스 메모리 덤프 방법 총 정리 (+ 메모리 덤프 도구 비교 분석)
※ Linux memory Dump 도구 소개
|
도구명 |
설명 |
|
fmem |
커널 모듈로 로드하여 /dev/mem과 동일하게 물리메모리에 접근하여 가상의 /dev/fmem 장치를 생성 Download: https://github.com/NateBrune/fmem |
|
Lime |
커널 모듈을 사용하여 PFN(Page Frame Number)을 이용해 특정 페이지 주소를 얻고 덤프 진행 Download: https://github.com/504ensicsLabs/LiME |
1. fmem
• 리눅스는 운영체제의 모든 리소스를 파일 형태로 다루며 메모리 접근은 장치 파일을 통해 이루어진다.
(System Memory – /dev/mem, Kernel Memory – /dev/kmem)
• 최근에는 /dev/mem 자체에 접근을 막고있어 fmem 도구를 통하여 커널 모듈로 로드하여 해당 /dev/fmem 장치를 생성 하여 덤프를 진행
1.1. fmem Memory Dump 방법
# git clone https://github.com/NateBrune/fmem.git 또는 직접 경로로 접근하여 다운로드
# make
# ./run.sh 또는 sh run.sh (/dev/fmem 장치 생성)
# dd if=/dev/fmem of=“경로”/dump.dd bs=1MB (생성된 fmem 장치를 dd 명령어를 통하여 덤프)
2. Lime
• 커널 모듈로 로드하여 PFN(Page Frame Number)을 메모리 페이지 주소를 획득 후 해당 영역을 덤프한다.
• 최근에는 안드로이드 모바일 기기에서도 덤프가 가능하도록 지원한다.
2.1. Lime Memory Dump 방법
# git clone https://github.com/504ensicsLabs/LiME.git 또는 직접 경로로 접근하여 다운로드
# cd Lime/src
# make (lime-”커널버전정보”.ko 파일 생성)
# insmod “lime-”커널버전정보”.ko “path=“경로”/”파일명” format=lime”
(ex: insmod lime-2.6.32-754.el6.x86_64.ko "path=./Memory.lime format=lime“)
윈도우 메모리 덤프 방법 총 정리 (+ 메모리 덤프 도구 비교 분석)
윈도우 메모리 덤프 방법 총 정리 (+메모리 덤프 도구 비교 분석) 1. Windows memory Dump 도구 비교 분석 구분 FTK Imager Dumpit Winpmem OS Windows xp 이상 Windows xp 이상 Windows xp 이상 bit 32bit, 64bit..
tbvjrornfl.tistory.com
'슈개's IT > Engineer Room' 카테고리의 다른 글
| 단순해시함수가 취약함으로 메시지 변경이 가능한가? (0) | 2021.01.23 |
|---|---|
| Source 포함: 리틀엔디안 빅엔디안 확인하는 방법 (0) | 2021.01.23 |
| 총 정리: 스니핑(Sniffing) / 스푸핑(Spoofing) / 스누핑(Snooping) 차이점 비교 분석 (0) | 2021.01.22 |
| 윈도우 메모리 덤프 방법 총 정리 (+ 메모리 덤프 도구 비교 분석) (0) | 2021.01.21 |
| DB 불필요한 계정 색출 추출하기 (2) | 2021.01.20 |