RAM / dev / memにアクセスしようとすると、「操作は許可されていません」と表示されます


9

Ubuntu 12.04を使用しています

LinuxでRAMの内容にアクセスする方法について、次のチュートリアルを読みます。

http://www.rootninja.com/using-dd-to-search-for-strings-in-memory-or-devices/

コード:

dd if=/dev/mem | hexdump -C | grep “string to search for”

だから、私はコードを実行します...

コード:

sudo dd if=/dev/mem | hexdump -C > NAMEOFOUTPUTFILEHERE.txt

そして...数秒後まで、HEXコードのポンプアウトを開始します。

dd: reading `/dev/mem': Operation not permitted
2056+0 records in 
2056+0 records out
1052672 bytes (1.1 MB) copied, 0.44834 s, 2.3 MB/s

つまり、基本的には、プログラムが「操作は許可されていません」と表示されるまで、約3.3 MBのRAMダンプの内容を取得できます。

そして、なぜRAMの内容全体をダンプできないのでしょうか。これは、悪意のあるハッカーを阻止するためのUbuntuの意図的な制限ですか?または、それは別のものですか?誰か知っていますか?ありがとう


3
わかりました...忘れてください...カーネルで定義されているように、UbuntuのRAM抽出には1 MBの制限があることが判明しました。そして、ハッカーがRAMなどからパスワードを抽出できないため、それは明らかに良いセキュリティです...そしてそう...そうです...このスレッドが解決されましたここに興味のある人のための完全な情報があります...

1
カーネルがSTRICT_DEVMEM = yでコンパイルされている場合(/ boot / config-KERNELVERSIONを参照)、最初の1MBだけが/ dev / memから読み取られます。自分のマシンのカーネルがどのようにコンパイルされたかの結果として、これはカーネルバージョンの問題ではありません。ほとんどのディストリビューションカーネルには、正当な理由でこの制限が設けられています。これを回避するために、フォレンジックカーネルモジュールfmemをダウンロードしてinsmodできます。ご自身の責任で!その後、できるだけ早くrmmodしてください。fmemモジュールは、セキュリティ制限なしで/ dev / fmemデバイスを提供します。

1
「約3.3 MBのRAMダンプの内容を取得できます-」。ええと、あなたは?私が見るすべてはです1052672 bytes (1.1 MB) copied。3.3MBではありません(速度は2.3MB /秒でもありません)。
Hennes、2015

回答:


4

UbuntuインストールのLinuxカーネルには、RAM抽出を1 MBに制限する設定*が同梱されています。

カーネルを使わずにカーネルを再コンパイルしたくない場合(明らかな警告:セキュリティが低下しています!)、またはフォレンジックカーネルモジュールfmemをダウンロードしてinsmodし、これを回避できます。これにより、セキュリティなしで/ dev / fmemデバイスが提供されます。

Opelloで述べたようstrict-devmem=0に、カーネルのコマンドラインでも使用できます。


*:(STRICT_DEVMEM=y例:/ boot / config-KERNELVERSIONを参照)


3
strict-devmem=0カーネルのコマンドラインを渡すこともできます。
opello 2016年

だけではFedoraおよび関連ディストリビューション、もし*さえ*この日
mirh
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.