Linux Sistemlerde Memory (RAM) Imajı Almak

Fmem, linux sistemlerde RAM imajını almak için kullanılan bir forensic aracıdır.
Bir kernel modülü olarak çalışır.Sisteme sürü olarak yüklenir ve /dev/fmem dizininde bulunur.Tıpkı /dev/mem gibidir fakat bir limit yoktur (1MB/1GB dağıtıma bağlı olarak)

Kurulumu
wget http://hysteria.sk/~niekt0/foriana/fmem_current.tgz

tar zxvf fmem_current.tgz

cd fmem_1.6-0

# make
rm -f *.o *.ko *.mod.c Module.symvers Module.markers modules.order .*.o.cmd .*.ko.cmd .*.o.d
rm -rf .tmp_versions
make -C /lib/modules/`uname -r`/build SUBDIRS=`pwd` modules
make[1]: Entering directory `/usr/src/linux-headers-2.6.38-11-generic’
CC [M] /root/fmem_1.6-0/lkm.o
LD [M] /root/fmem_1.6-0/fmem.o
Building modules, stage 2.
MODPOST 1 modules
CC /root/fmem_1.6-0/fmem.mod.o
LD [M] /root/fmem_1.6-0/fmem.ko
make[1]: Leaving directory `/usr/src/linux-headers-2.6.38-11-generic’

# ./run.sh
Module: insmod fmem.ko a1=0xffffffff8106e590 : OK
Device: /dev/fmem
—-Memory areas: —–
reg00: base=0x000000000 ( 0MB), size= 2048MB, count=1: write-back
reg01: base=0x080000000 ( 2048MB), size= 512MB, count=1: write-back
reg02: base=0x0a0000000 ( 2560MB), size= 128MB, count=1: write-back
reg03: base=0x0a8000000 ( 2688MB), size= 64MB, count=1: write-back
reg04: base=0x100000000 ( 4096MB), size= 1024MB, count=1: write-back
reg05: base=0x140000000 ( 5120MB), size= 128MB, count=1: write-back
reg06: base=0x0b0000000 ( 2816MB), size= 256MB, count=1: write-combining
———————–
!!! Don’t forget add “count=” to dd !!!

Kullanımı
# dd if=/dev/fmem of=… bs=1MB count=…

Örnek;
# dd if=/dev/fmem of=/tmp/memory.dump bs=10MB count=2048
dd: reading `/dev/fmem’: Bad address
286+0 records in
286+0 records out
2860000000 bytes (2.9 GB) copied, 34.6138 s, 82.6 MB/s

/tmp/memory.dump altında ram imajını bulabilirsiniz.

Yazar:
Ozan UÇAR
ozan.ucar@bga.com.tr