Analyser le contenu de la mémoire vive (RAM) sous Linux


RAM
La mémoire vive, appelée également RAM (Random Access Memory), est une zone dans laquelle les données sont stockées avant et après leur traitement par le processeur. Sous Linux, il est possible d'y accéder et d'analyser son contenu. On y trouve parfois des informations intéressantes comme des logins, des mots de passe ou encore des cookies de session ...

L'accès à la mémoire vive se fait par le chemin /dev/mem. Pour dumper son contenu, vous pouvez utiliser la commande suivante en root uniquement :

hexdump -C /dev/mem

Ce qui affichera quelque chose comme ceci :

000f6630 65 6d 20 70 61 73 73 77 6f 72 64 20 61 6e 64 20 |em password and |
000f6680 72 20 70 61 73 73 77 6f 72 64 3a 20 00 0d 0a 50 |r password: ...P|
000f66e0 72 72 65 63 74 20 70 61 73 73 77 6f 72 64 2e 20 |rrect password. |
000f6700 6e 73 75 63 63 65 73 73 66 75 6c 20 70 61 73 73 |nsuccessful pass|

Il est possible d'améliorer l'utilisation d'hexdump afin d'afficher uniquement le contenu de la dernière colonne :

hexdump -e '90/1 "%_p" "\n"' /dev/mem | less


7 Commentaires pour "Analyser le contenu de la mémoire vive (RAM) sous Linux"

Flux des commentaires de cet article Ajouter un commentaire
  •  

    Intéressant !!! mais par contre ça ne révèle rien de compromettant, pas de mot de passe ou de site de fesses ;) chez moi ...

    RépondreRépondre
    kegeruneku , le 4 juin 2009 à 20:53
  •  

    @kegeruneku : ça dépend surtout à quel moment tu lance la commande sur une machine et qui l'utilise.

    RépondreRépondre
    pti-seb , le 5 juin 2009 à 20:39
  •  

    lol, la commande de pur geek!

    RépondreRépondre
    Brakbabord , le 5 juin 2009 à 21:19
  •  

    aussi faut-il pouvoir interpréter le résultat...

    000ffff0 ea 8a 99 00 f0 31 31 2f 31 30 2f 30 38 20 fc ff |.....11/10/08 ..|
    00100000 21 09 10 00 00 00 00 00 00 00 00 00 00 00 00 00 |!...............|
    00100010 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|

    dubitatif

    RépondreRépondre
    2023 , le 6 juin 2009 à 13:24
  •  

    bonjour,
    J'aimerais savoir, comment interprèté le résultat de Hexdump -C /dev/mem
    vu que c 'est de l'hexadécimal (en fait je savoir comment rendre lisible (compréhensible par l'homme) le résultat de la commande.
    merci

    RépondreRépondre
    jeandez , le 29 février 2012 à 16:58
  •  

    @jeandez : le contenu lisible se situe dans la dernière colonne.

    RépondreRépondre
    pti-seb , le 1 mars 2012 à 09:17
  •  

    je ne sais pas comment vous le lisez mais voici ce que j'obtiens:
    000fff90 cd 10 e8 54 10 72 18 fe c2 38 ea 72 ed e8 3a 10 |...T.r...8.r..:.|
    000fffa0 72 0d 32 d2 fe c6 3a 36 84 00 76 de e8 2b 10 1a |r.2...:6..v..+..|
    000fffb0 c9 5a b4 02 cd 10 fa 88 0e 00 01 61 1f cf 83 c4 |.Z.........a....|
    000fffc0 06 fb 66 52 66 ba 05 00 02 00 e8 ab e2 66 5a e9 |..fRf........fZ.|
    000fffd0 cb 4f ff ff ff ff ff 30 31 20 49 53 41 00 00 00 |.O.....01 ISA...|
    000fffe0 85 80 8d 80 53 20 43 4d 30 33 43 4f 4d 50 41 51 |....S CM03COMPAQ|
    000ffff0 ea 8a 99 00 f0 31 31 2f 31 30 2f 30 38 20 fc ff |.....11/10/08 ..|
    00100000 f6 86 11 02 00 00 40 75 14 0f 01 15 22 6e 76 00 |......@u...."nv.|
    00100010 b8 18 00 00 00 8e d8 8e c0 8e e0 8e e8 fc 31 c0 |..............1.|
    00100020 bf 00 10 85 00 b9 d8 0e 8e 00 29 f9 c1 e9 02 f3 |..........).....|
    00100030 ab bf e0 fb 7d 00 b9 00 04 00 00 fc f3 a5 8b 35 |....}..........5|
    00100040 08 fe 7d 00 21 f6 74 0c bf 40 cc 7d 00 b9 00 02 |..}.!.t..@.}....|
    00100050 00 00 f3 a5 66 81 3d e6 fd 7d 00 07 02 72 1c a1 |....f.=..}...r..|
    00100060 1c fe 7d 00 3d 04 00 00 00 73 0e 8b 04 85 e0 c3 |..}.=....s......|
    00100070 7d 00 2d 00 00 00 c0 ff e0 0f 0b bf 00 10 8e 00 |}.-.............|
    00100080 ba 00 10 85 00 b8 03 00 00 00 8d 4f 67 89 0a 89 |...........Og...|
    00100090 8a 00 0c 00 00 83 c2 04 b9 00 04 00 00 ab 05 00 |................|
    001000a0 10 00 00 e2 f8 bd 03 10 a8 00 39 e8 72 dc 81 c7 |..........9.r...|
    001000b0 00 00 00 c0 89 3d e0 85 76 00 c1 e8 0c a3 84 70 |.....=..v......p|
    001000c0 85 00 b8 67 20 85 00 a3 fc 1f 85 00 e9 fd 21 48 |...g .........!H|
    001000d0 00 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 |................|
    001000e0 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 |................|
    *
    hexdump: /dev/mem: Opération non permise
    00101000

    En plus j'obtiens opération non permise . pouvez vous m'aider ???
    comment décortiquez un mot de passe ici ??
    pouvez vous me dire aussi comment faire pour avoir accès au module chargé dans le noyau à partir de la RAM.
    Merci!!!

    RépondreRépondre
    jeandez , le 2 mars 2012 à 15:19
 

Ajouter un commentaire

actualité android apache apple astuce astuces bash bilboblog blog boot chrome clavier commande commandes conky date debian Desktop développement elementary exploit faille fedora firefox flash gimp gnome google graphique Graphisme hack hacking Hardware humour intel internet iphone jailbreak Jeux Kde kernel libre Linux log logiciels Logiciels Libres lucid lynx maemo mail maquette metasploit microsoft mobile mockup monitoring mozilla multi-touch musique mysql n900 nautilus nokia noyau openoffice open source password photos php Planet publicité redhat red hat rpm réseau screenshot script serveur serveurs shell sql ssh statistiques sysadmin system Sécurité thème tux-planet tv twitter ubuntu unity vidéo vidéos vlc voyage wallpaper windows wordpress yum