macOS Memory Dumping
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
スワップファイル(例:/private/var/vm/swapfile0)は、物理メモリが満杯のときのキャッシュとして機能します。物理メモリに空きがなくなると、そのデータはスワップファイルに転送され、必要に応じて物理メモリに戻されます。スワップファイルは複数存在する可能性があり、名前はswapfile0、swapfile1などとなります。
/private/var/vm/sleepimageにあるファイルは、ハイバネーションモードの際に重要です。OS Xがハイバネートするとき、メモリのデータはこのファイルに保存されます。コンピュータが復帰すると、システムはこのファイルからメモリデータを取得し、ユーザーは前回の作業を続けることができます。
現代のMacOSシステムでは、このファイルは通常、セキュリティ上の理由から暗号化されており、復元が難しいことに注意が必要です。
sleepimageの暗号化が有効かどうかを確認するには、sysctl vm.swapusageコマンドを実行します。これにより、ファイルが暗号化されているかどうかが表示されます。
MacOSシステムにおけるもう一つの重要なメモリ関連ファイルは、メモリプレッシャーログです。これらのログは/var/logにあり、システムのメモリ使用状況やプレッシャーイベントに関する詳細情報を含んでいます。メモリ関連の問題を診断したり、システムが時間の経過とともにメモリをどのように管理しているかを理解するのに特に役立ちます。
MacOSマシンのメモリをダンプするには、osxpmemを使用できます。
注意:以下の手順は、IntelアーキテクチャのMacにのみ適用されます。このツールは現在アーカイブされており、最後のリリースは2017年でした。以下の手順でダウンロードしたバイナリは、2017年にはApple Siliconが存在しなかったため、Intelチップを対象としています。arm64アーキテクチャ用にバイナリをコンパイルすることが可能かもしれませんが、自分で試す必要があります。
もしこのエラーが表示された場合: osxpmem.app/MacPmem.kext failed to load - (libkern/kext) authentication failure (file ownership/permissions); check the system/kernel logs for errors or try kextutil(8) 修正するには次のようにします:
他のエラーは、「セキュリティとプライバシー --> 一般」でkextの読み込みを許可することで修正できるかもしれません。許可してください。
このワンライナーを使用して、アプリケーションをダウンロードし、kextを読み込み、メモリをダンプすることもできます:
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
