LiME
LiMEは、LinuxおよびLinuxデバイスから揮発性メモリを取得するためのローダブルカーネルモジュールです。LiMEは、Androidデバイスから完全なメモリをキャプチャできる****ツールであり、キャプチャプロセス中のwill-userプロセスとkernel-spaceプロセス間の相互作用を低減します。
ドラウグル
dev/memや情報ダンプを使うことで、Draugrはpython言語を使ってメモリにアクセスし、読み書き、検索することができます。システム情報も様々な方法で見つけることができます。さらに、カーネルシンボルやプロセスの検索、メモリの逆アセンブルやダンプも可能です。
ヴォラティリトゥス
- ARM
- x86
- PAEをサポートしたx86
以下のコマンドに対応しています:
- pslist: 全プロセスのリストを表示します。
- memmap: プロセスのメモリマップを表示します。
- memdmp: プロセスのアドレス可能メモリをダンプ
- filelist: 指定されたプロセスについて、開いているすべてのファイルを表示します。
- filedmp: Dump Open ドキュメンテーション
メンフェッチ
これは、実行中のプロセスの全メモリをダンプしたり、フォールト状態が見つかったりするためのシンプルなツールです。Memfetchコードをインストールしてください:
## FreeBSD ##
pkg_add -r -v memfetch
## other *nix user download it from the following url ##
wget http://..cx/soft/.tgz
tar xvf memfetch.tgz
cd memfetch && make
赤帽クラッシュ
このカーネル解析スイートは、エコシステム、Netdump で作成されたカーネル・カーネル・ダンプ、Red Hat Linux の diskdump および kdump パッケージのサポート、メモリ・フォレンジックに使用できるスタンドアロン・ツールです。インストールコード:
## RHEL / CentOS ##
yum install crash
## Novell / Suse / OpenSUSE ##
zypper install yast2-kdump
メムグレップ
実行中のプロセスやコアファイルからメモリを検索、置換、ダンプするシンプルなツールです。インストール
## FreeBSD ##
pkg_add -r -v memgrep
メンダンプ
Memdumpはシステムメモリを標準出力ストリームにダンプし、メモリマッピングはスキップします。デフォルトでは物理メモリの内容がダンプされます。インストール
## Debian / ubuntu Linux ##
sudo apt-get install memdump
## FreeBSD ##
pkg_add -r -v memdupm
フォリアナ
オペレーティングシステムの構造間の論理的な関係に基づいて、RAMイメージからプロセスとモジュールのリスト情報を抽出するツール。
他にも素晴らしいツールがあれば、ぜひ下記でシェアしてください。
