Usando LiME y Volatility para analizar la memoria en Linux

LiME (Linux Memory Extractor) es un módulo LKM (Loadable Kernel Module) que permite la adquisición de la memoria volátil de sistemas Linux o basados en Linux tales como Android. De hecho es la única herramienta que permite obtener un volcado completo de la memoria en dispositivos Android. Fue presentada en la conferencia ShmooCon 2012 (donde también se conocía como DMD) y permite la extracción de la memoria incluso por red, algo muy útil para llevarnos la imagen a otro sitio para realizar un forense.

En el siguiente vídeo veremos precisamente cómo preparar el módulo LiME y el perfil de Volatility en el kernel de Linux del objetivo (en este caso un Backtrack), localizar el historial bash con gdb, copiar el volcado de memoria a través de la red al servidor e inspeccionar la memoria con Volatility para encontrar el susodicho historial:

Comentarios