Analyser le contenu de la mémoire vive (RAM) sous Linux
La mémoire vive, appelée également RAM (Random Access Memory), est une zone dans laquelle les données sont stockées avant et après leur traitement par le processeur. Sous Linux, il est possible d'y accéder et d'analyser son contenu. On y trouve parfois des informations intéressantes comme des logins, des mots de passe ou encore des cookies de session ...
L'accès à la mémoire vive se fait par le chemin /dev/mem. Pour dumper son contenu, vous pouvez utiliser la commande suivante en root uniquement :
hexdump -C /dev/mem
Ce qui affichera quelque chose comme ceci :
000f6630 65 6d 20 70 61 73 73 77 6f 72 64 20 61 6e 64 20 |em password and |
000f6680 72 20 70 61 73 73 77 6f 72 64 3a 20 00 0d 0a 50 |r password: ...P|
000f66e0 72 72 65 63 74 20 70 61 73 73 77 6f 72 64 2e 20 |rrect password. |
000f6700 6e 73 75 63 63 65 73 73 66 75 6c 20 70 61 73 73 |nsuccessful pass|
Il est possible d'améliorer l'utilisation d'hexdump afin d'afficher uniquement le contenu de la dernière colonne :
hexdump -e '90/1 "%_p" "\n"' /dev/mem | less
Créé en 2005, Tux-planet est un site qui a pour ambition de regrouper des articles sur Linux et le monde des logiciels libres. 
7 Commentaires pour "Analyser le contenu de la mémoire vive (RAM) sous Linux"
Flux des commentaires de cet article Ajouter un commentaireIntéressant !!! mais par contre ça ne révèle rien de compromettant, pas de mot de passe ou de site de fesses
chez moi ...
@kegeruneku : ça dépend surtout à quel moment tu lance la commande sur une machine et qui l'utilise.
lol, la commande de pur geek!
aussi faut-il pouvoir interpréter le résultat...
000ffff0 ea 8a 99 00 f0 31 31 2f 31 30 2f 30 38 20 fc ff |.....11/10/08 ..|
00100000 21 09 10 00 00 00 00 00 00 00 00 00 00 00 00 00 |!...............|
00100010 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
dubitatif
bonjour,
J'aimerais savoir, comment interprèté le résultat de Hexdump -C /dev/mem
vu que c 'est de l'hexadécimal (en fait je savoir comment rendre lisible (compréhensible par l'homme) le résultat de la commande.
merci
@jeandez : le contenu lisible se situe dans la dernière colonne.
je ne sais pas comment vous le lisez mais voici ce que j'obtiens:
000fff90 cd 10 e8 54 10 72 18 fe c2 38 ea 72 ed e8 3a 10 |...T.r...8.r..:.|
000fffa0 72 0d 32 d2 fe c6 3a 36 84 00 76 de e8 2b 10 1a |r.2...:6..v..+..|
000fffb0 c9 5a b4 02 cd 10 fa 88 0e 00 01 61 1f cf 83 c4 |.Z.........a....|
000fffc0 06 fb 66 52 66 ba 05 00 02 00 e8 ab e2 66 5a e9 |..fRf........fZ.|
000fffd0 cb 4f ff ff ff ff ff 30 31 20 49 53 41 00 00 00 |.O.....01 ISA...|
000fffe0 85 80 8d 80 53 20 43 4d 30 33 43 4f 4d 50 41 51 |....S CM03COMPAQ|
000ffff0 ea 8a 99 00 f0 31 31 2f 31 30 2f 30 38 20 fc ff |.....11/10/08 ..|
00100000 f6 86 11 02 00 00 40 75 14 0f 01 15 22 6e 76 00 |......@u...."nv.|
00100010 b8 18 00 00 00 8e d8 8e c0 8e e0 8e e8 fc 31 c0 |..............1.|
00100020 bf 00 10 85 00 b9 d8 0e 8e 00 29 f9 c1 e9 02 f3 |..........).....|
00100030 ab bf e0 fb 7d 00 b9 00 04 00 00 fc f3 a5 8b 35 |....}..........5|
00100040 08 fe 7d 00 21 f6 74 0c bf 40 cc 7d 00 b9 00 02 |..}.!.t..@.}....|
00100050 00 00 f3 a5 66 81 3d e6 fd 7d 00 07 02 72 1c a1 |....f.=..}...r..|
00100060 1c fe 7d 00 3d 04 00 00 00 73 0e 8b 04 85 e0 c3 |..}.=....s......|
00100070 7d 00 2d 00 00 00 c0 ff e0 0f 0b bf 00 10 8e 00 |}.-.............|
00100080 ba 00 10 85 00 b8 03 00 00 00 8d 4f 67 89 0a 89 |...........Og...|
00100090 8a 00 0c 00 00 83 c2 04 b9 00 04 00 00 ab 05 00 |................|
001000a0 10 00 00 e2 f8 bd 03 10 a8 00 39 e8 72 dc 81 c7 |..........9.r...|
001000b0 00 00 00 c0 89 3d e0 85 76 00 c1 e8 0c a3 84 70 |.....=..v......p|
001000c0 85 00 b8 67 20 85 00 a3 fc 1f 85 00 e9 fd 21 48 |...g .........!H|
001000d0 00 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 |................|
001000e0 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 |................|
*
hexdump: /dev/mem: Opération non permise
00101000
En plus j'obtiens opération non permise . pouvez vous m'aider ???
comment décortiquez un mot de passe ici ??
pouvez vous me dire aussi comment faire pour avoir accès au module chargé dans le noyau à partir de la RAM.
Merci!!!