Estoy usando Ubuntu 12.04
Leí el siguiente tutorial sobre cómo acceder a los contenidos de RAM en Linux ...
http://www.rootninja.com/using-dd-to-search-for-strings-in-memory-or-devices/
Código:
dd if=/dev/mem | hexdump -C | grep “string to search for”
Entonces, ejecuto el código ...
Código:
sudo dd if=/dev/mem | hexdump -C > NAMEOFOUTPUTFILEHERE.txt
Y ... comienza a bombear código HEX, hasta unos segundos más tarde, donde dice:
dd: reading `/dev/mem': Operation not permitted
2056+0 records in
2056+0 records out
1052672 bytes (1.1 MB) copied, 0.44834 s, 2.3 MB/s
Básicamente, puedo obtener unos 3,3 MB de contenido de volcado de RAM, hasta que el programa se detiene y dice "Operación no permitida"
Y entonces me pregunto por qué no puedo volcar todo el contenido de RAM. ¿Es esta una limitación deliberada en Ubuntu para detener a los hackers maliciosos? ¿O es otra cosa? ¿Alguien sabe? Gracias
1052672 bytes (1.1 MB) copied
. No 3.3MB (ni 2.3MB / seg que era una velocidad).Respuestas:
El kernel de Linux en su instalación de Ubuntu se envía con una configuración * que limita la extracción de RAM a 1 MB.
Si no desea que pueda volver a compilar el núcleo sin él (obvio: ¡está disminuyendo la seguridad!) O puede descargar e insertar el módulo de núcleo forense fmem para solucionar este problema. Eso proporciona un dispositivo / dev / fmem sin ninguna seguridad.
Como mencionó Opello: también se puede usar
strict-devmem=0
en el cmdline del núcleo.* :
STRICT_DEVMEM=y
(ver por ejemplo / boot / config-KERNELVERSION)fuente
strict-devmem=0
el cmdline del kernel.