Analisando dados da memória RAM
2010
Primeiramente… FELIZ 2010 a todos!
Hoje vai uma dica interessante e rápida para fazermos uma análise dos dados contidos na memória RAM de uma determinada máquina rodando Linux.
Gosto do ramo de análise forense computacional e estava com esse post em mente a meses. Como acordei bem disposto hoje, resolvi compartilhar esse pequeno conhecimento.
Com essa dica você pode salvar sua pele numa ocasião em que algum malandro ferrou seu servidor e “apagou” os dados do disco rígido mas esqueceu da memória principal…
Simples passos:
Passo 1:
fazer dump da memória utilizando a ferramenta “dd”:
if=/dev/mem of=dump-file bs=1024
Obs.: bs = block size
será gerado um arquivo bem interessante, porém ilegível, por isso temos o próximo passo…
Passo 2:
usar uma ferramenta que “traduza” os dados para “human readable”:
strings dump-file > readable-dump-file
Agora sim! Temos dados de fácil compreensão salvos em um arquivo! Basta abrir o arquivo (cat, tac, vi, grep, etc) e aproveitar!
Até a próxima!
Comment