macOS Memory Dumping
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Swap datoteke, kao što je /private/var/vm/swapfile0
, služe kao keš kada je fizička memorija puna. Kada više nema prostora u fizičkoj memoriji, njeni podaci se prebacuju u swap datoteku i zatim vraćaju u fizičku memoriju po potrebi. Mogu biti prisutne više swap datoteka, sa imenima kao što su swapfile0, swapfile1, i tako dalje.
Datoteka koja se nalazi na /private/var/vm/sleepimage
je ključna tokom hibernacije. Podaci iz memorije se čuvaju u ovoj datoteci kada OS X hibernira. Kada se računar probudi, sistem preuzima podatke iz memorije iz ove datoteke, omogućavajući korisniku da nastavi gde je stao.
Vredno je napomenuti da je na modernim MacOS sistemima ova datoteka obično enkriptovana iz bezbednosnih razloga, što otežava oporavak.
Da biste proverili da li je enkripcija omogućena za sleepimage, može se pokrenuti komanda sysctl vm.swapusage
. Ovo će pokazati da li je datoteka enkriptovana.
Još jedna važna datoteka vezana za memoriju u MacOS sistemima je log memorijskog pritiska. Ovi logovi se nalaze u /var/log
i sadrže detaljne informacije o korišćenju memorije sistema i događajima pritiska. Mogu biti posebno korisni za dijagnostikovanje problema vezanih za memoriju ili razumevanje kako sistem upravlja memorijom tokom vremena.
Da biste dumpovali memoriju na MacOS mašini, možete koristiti osxpmem.
Napomena: Sledeće instrukcije će raditi samo za Mac računare sa Intel arhitekturom. Ovaj alat je sada arhiviran i poslednje izdanje je bilo 2017. Preuzeta binarna datoteka koristeći sledeće instrukcije cilja Intel čipove, jer Apple Silicon nije postojao 2017. Moguće je da se binarna datoteka može kompajlirati za arm64 arhitekturu, ali to ćete morati da probate sami.
Ako pronađete ovu grešku: osxpmem.app/MacPmem.kext nije uspeo da se učita - (libkern/kext) greška u autentifikaciji (vlasništvo/dozvole datoteke); proverite sistemske/kernel logove za greške ili pokušajte kextutil(8)
Možete to popraviti na sledeći način:
Drugi greške mogu biti ispravljene dozvoljavanjem učitavanja kext-a u "Sigurnost i privatnost --> Opšte", samo dozvolite to.
Možete takođe koristiti ovu jednolinijsku komandu za preuzimanje aplikacije, učitavanje kext-a i dumpovanje memorije:
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)