Tentativo di accedere a RAM / dev / mem ... dice "Operazione non consentita"


9

Sto usando Ubuntu 12.04

Ho letto il seguente tutorial su come accedere al contenuto della RAM in Linux ....

http://www.rootninja.com/using-dd-to-search-for-strings-in-memory-or-devices/

Codice:

dd if=/dev/mem | hexdump -C | grep “string to search for”

Quindi, eseguo il codice ...

Codice:

sudo dd if=/dev/mem | hexdump -C > NAMEOFOUTPUTFILEHERE.txt

E ... inizia a pompare il codice HEX, fino a pochi secondi dopo, dove dice:

dd: reading `/dev/mem': Operation not permitted
2056+0 records in 
2056+0 records out
1052672 bytes (1.1 MB) copied, 0.44834 s, 2.3 MB/s

Quindi in pratica .. Sono in grado di ottenere circa 3,3 MB di contenuti di dump della RAM-- fino a quando il programma non si arresta, dicendo "Operazione non consentita"

E quindi mi chiedo perché non riesco a scaricare l'intero contenuto della RAM? È una limitazione deliberata in Ubuntu, per fermare gli hacker malintenzionati? O è qualcos'altro? Qualcuno lo sa? Grazie


3
OK ... dimenticalo ... risulta che Ubuntu ha un limite di 1 MB per l'estrazione della RAM, come definito nel kernel ... e ovviamente, questa è una buona sicurezza, perché quindi un hacker non può estrarre le tue password dalla RAM ecc ... E così ... sì .... questo thread è ora RISOLTO Ecco le informazioni complete, per chiunque sia interessato ....

1
se il tuo kernel è stato compilato con STRICT_DEVMEM = y (vedi ad esempio / boot / config-KERNELVERSION), solo i primi 1 MB vengono letti da / dev / mem. Questo non è tanto un problema di versione del kernel, a causa di come è stato compilato il kernel della propria macchina; la maggior parte dei kernel di distribuzione avrà questa restrizione in atto per una buona ragione. È possibile scaricare e inserire il modulo del kernel forense fmem per aggirare questo problema; a tuo rischio! rmmod dopo il più presto possibile. Il modulo fmem fornisce un dispositivo / dev / fmem senza restrizioni di sicurezza.

1
"Sono in grado di ottenere circa 3,3 MB di contenuti di dump RAM-". Uhm, lo sei? Tutto quello che vedo è 1052672 bytes (1.1 MB) copied. Non 3,3 MB (né 2,3 MB / sec che era una velocità).
Hennes,

Risposte:


4

Il kernel Linux sulla tua installazione di Ubuntu viene fornito con un'impostazione * che limita l'estrazione della RAM a 1 MB.

Se non desideri che puoi ricompilare il kernel senza di esso (ovvio avvertimento: stai abbassando la sicurezza!) Oppure puoi scaricare e insmod il modulo forense del kernel fmem per aggirare questo problema. Ciò fornisce un dispositivo / dev / fmem senza alcuna sicurezza.

Come accennato da Opello: puoi usare anche strict-devmem=0nel cmdline del kernel.


* : STRICT_DEVMEM=y(vedi ad es. / boot / config-KERNELVERSION)


3
Puoi anche passare strict-devmem=0nel cmdline del kernel.
opello,

Solo su Fedora e relative distribuzioni, se * pari * oggi
mirh,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.