TI Inteligente! Blog

Primeiramente… FELIZ 2010 a todos!

Hoje vai uma dica interessante e rápida para fazermos uma análise dos dados contidos na memória RAM de uma determinada máquina rodando Linux.

Gosto do ramo de análise forense computacional e estava com esse post em mente a meses. Como acordei bem disposto hoje, resolvi compartilhar esse pequeno conhecimento.

Com essa dica você pode salvar sua pele numa ocasião em que algum malandro ferrou seu servidor e “apagou” os dados do disco rígido mas esqueceu da memória principal…

Simples passos:

Passo 1:

fazer dump da memória utilizando a ferramenta “dd”:

if=/dev/mem of=dump-file bs=1024

Obs.: bs = block size

será gerado um arquivo bem interessante, porém ilegível, por isso temos o próximo passo…

Passo 2:
usar uma ferramenta que “traduza” os dados para “human readable”:

strings dump-file > readable-dump-file

Agora sim! Temos dados de fácil compreensão salvos em um arquivo! Basta abrir o arquivo (cat, tac, vi, grep, etc) e aproveitar!

Até a próxima!