¿Sabes cómo hacer la adquisición de memoria RAM en Linux? En otros artículos hemos visto cómo hacer adquisición de memoria RAM en Windows y adquisición remota de memoria RAM. Lo que te enseñaremos en este post es un proceso un poco más complejo, ya que, debido al diseño de la estructura del sistema operativo, hay que seguir una serie de pasos que, si los hiciéramos en la máquina principal, podrían contaminar la evidencia.
¿Qué encontrarás en este post?
ToggleAdquisición de memoria RAM en Linux
Para poder ejecutar la adquisición de memoria RAM en Linux por medio de Lime, necesitamos generar un fichero llamado Objeto de kernel (kernel object).
Objeto de kernel
Un objeto de kernel es una estructura de datos utilizada por el kernel del sistema operativo para representar diversos elementos del sistema, como procesos, archivos, dispositivos, sockets, semáforos o colas, entre otros.
Los objetos de kernel los crea y gestiona el kernel del sistema operativo. Se encuentran en la memoria del kernel, lo que significa que no son accesibles directamente para los programas en el espacio de usuario. En lugar de ello, estos programas interactúan con los objetos de kernel a través de una interfaz proporcionada por el mismo, como las llamadas al sistema.
Los kernel objects son esenciales para el correcto funcionamiento del sistema operativo y son empleados por diversos componentes del kernel para implementar características como la administración de procesos, el sistema de archivos, la gestión de dispositivos, la comunicación entre procesos y muchos otros aspectos del sistema operativo.
Pasos a seguir para la adquisición de memoria RAM en Linux
En una máquina con el mismo kernel que la máquina que debemos adquirir, debemos realizar los siguientes pasos para hacer la adquisición de memoria RAM en Linux:
- Obtenemos el kernel: uname -a
- Nos descargamos el código de LiME.
- Instalamos los siguientes paquetes: “
sudo apt -get install make build - essential linux - headers
“ - Ejecutamos el siguiente comando: “
make -C /lib /modules /<kernel_version> /build M = $PWD
“. Sustituyendo el <kernel_version
> por la versión del kernel que tengamos nosotros.
Comando uname -a
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaUname -a es un comando utilizado en sistemas operativos basados en Unix (como Linux, macOS, etc.) que muestra información detallada sobre el sistema, incluyendo el nombre del kernel, el nombre del host, la versión del sistema operativo, la arquitectura del procesador y otra información relevante.
LiME
LiME es una herramienta forense utilizada en sistemas operativos Linux para adquirir una imagen completa de la memoria del sistema en tiempo real. LiME significa “Linux Memory Extractor” y se ejecuta como un módulo del kernel de Linux, lo que permite la adquisición de una imagen completa de la memoria del sistema, incluyendo los procesos en ejecución, las conexiones de red, las claves de cifrado, las credenciales y otros datos en memoria.
La herramienta LiME puede ser útil en el análisis forense de sistemas comprometidos, ya que le permite a los investigadores examinar el contenido de la memoria del sistema para identificar posibles huellas de actividades maliciosas y hacer la adquisición de memoria RAM en Linux. También puede emplearse para recuperar información en sistemas que no son capaces de arrancar, pero cuya memoria sigue intacta.
sudo apt -get install make build – essential linux – headers
Este comando tiene varias partes que nos permiten hacer la adquisición de memoria RAM en Linux:
- Sudo se utiliza para ejecutar el comando con privilegios de root, lo que permite la instalación de paquetes en el sistema.
- Make es una herramienta que se utiliza para automatizar la compilación de programas.
- Build-essential es un metapaquete que incluye una serie de herramientas, como compiladores, librerías y herramientas de construcción.
- Linux-headers es un paquete que contiene los archivos de encabezado del kernel de Linux.
make -C /lib /modules / /build M = $PWD
- -C especifica el directorio en el que se debe ejecutar el comando make.
- /lib/modules/<kernel_version>/build es el directorio donde se encuentra el código fuente del kernel.
- M=$PWD es una variable que especifica la ruta completa del directorio actual (PWD), como la ubicación del código fuente del módulo que se está compilando.
Ya hemos visto cómo hacer adquisición de memoria RAM en Linux. Si quieres seguir formándote en las numerosas disciplinas de la seguridad informática, no te pierdas nuestro Ciberseguridad Full Stack Bootcamp, la formación intensiva con la que conseguirás, en muy pocos meses, transformarte en un gran profesional gracias al acompañamiento de profesores expertos en el sector IT. ¡Pide ahora más información e impulsa ya tu futuro profesional!