Analyser le contenu de la mémoire vive (RAM) sous Linux
La mémoire vive, appelée également RAM (Random Access Memory), est une zone dans laquelle les données sont stockées avant et après leur traitement par le processeur. Sous Linux, il est possible d'y accéder et d'analyser son contenu. On y trouve parfois des informations intéressantes comme des logins, des mots de passe ou encore des cookies de session ...
L'accès à la mémoire vive se fait par le chemin /dev/mem. Pour dumper son contenu, vous pouvez utiliser la commande suivante en root uniquement :
hexdump -C /dev/mem
Ce qui affichera quelque chose comme ceci :
000f6630 65 6d 20 70 61 73 73 77 6f 72 64 20 61 6e 64 20 |em password and |
000f6680 72 20 70 61 73 73 77 6f 72 64 3a 20 00 0d 0a 50 |r password: ...P|
000f66e0 72 72 65 63 74 20 70 61 73 73 77 6f 72 64 2e 20 |rrect password. |
000f6700 6e 73 75 63 63 65 73 73 66 75 6c 20 70 61 73 73 |nsuccessful pass|
Il est possible d'améliorer l'utilisation d'hexdump afin d'afficher uniquement le contenu de la dernière colonne :
hexdump -e '90/1 "%_p" "\n"' /dev/mem | less
Créé en 2005, Tux-planet est un site qui a pour ambition de regrouper des articles sur Linux et le monde des logiciels libres. 
4 Commentaires pour "Analyser le contenu de la mémoire vive (RAM) sous Linux"
Flux des commentaires de cet article Ajouter un commentaireIntéressant !!! mais par contre ça ne révèle rien de compromettant, pas de mot de passe ou de site de fesses
chez moi ...
@kegeruneku : ça dépend surtout à quel moment tu lance la commande sur une machine et qui l'utilise.
lol, la commande de pur geek!
aussi faut-il pouvoir interpréter le résultat...
000ffff0 ea 8a 99 00 f0 31 31 2f 31 30 2f 30 38 20 fc ff |.....11/10/08 ..|
00100000 21 09 10 00 00 00 00 00 00 00 00 00 00 00 00 00 |!...............|
00100010 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
dubitatif