macOS Memory Dumping
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Faili za kubadilishana, kama /private/var/vm/swapfile0
, hutumikia kama cache wakati kumbukumbu ya kimwili imejaa. Wakati hakuna nafasi zaidi katika kumbukumbu ya kimwili, data yake inahamishwa kwenye faili ya kubadilishana na kisha inarudishwa kwenye kumbukumbu ya kimwili inapohitajika. Faili nyingi za kubadilishana zinaweza kuwepo, zikiwa na majina kama swapfile0, swapfile1, na kadhalika.
Faili iliyoko kwenye /private/var/vm/sleepimage
ni muhimu wakati wa hali ya usingizi. Data kutoka kwenye kumbukumbu huhifadhiwa katika faili hii wakati OS X inapoingia kwenye usingizi. Wakati kompyuta inapoamka, mfumo unapata data ya kumbukumbu kutoka kwenye faili hii, ikiruhusu mtumiaji kuendelea mahali alipoacha.
Inafaa kutajwa kwamba kwenye mifumo ya kisasa ya MacOS, faili hii kwa kawaida imefungwa kwa sababu za usalama, na kufanya urejeleaji kuwa mgumu.
Ili kuangalia ikiwa usimbaji umewezeshwa kwa sleepimage, amri sysctl vm.swapusage
inaweza kutumika. Hii itaonyesha ikiwa faili imefungwa.
Faili nyingine muhimu inayohusiana na kumbukumbu katika mifumo ya MacOS ni kumbukumbu ya shinikizo la kumbukumbu. Kumbukumbu hizi ziko katika /var/log
na zina maelezo ya kina kuhusu matumizi ya kumbukumbu ya mfumo na matukio ya shinikizo. Zinweza kuwa na manufaa hasa kwa kutambua matatizo yanayohusiana na kumbukumbu au kuelewa jinsi mfumo unavyosimamia kumbukumbu kwa muda.
Ili kutupa kumbukumbu katika mashine ya MacOS unaweza kutumia osxpmem.
Note: Maelekezo yafuatayo yatatumika tu kwa Macs zenye usanifu wa Intel. Chombo hiki sasa kimehifadhiwa na toleo la mwisho lilikuwa mwaka 2017. Binary iliyopakuliwa kwa kutumia maelekezo hapa chini inalenga chips za Intel kwani Apple Silicon haikuwapo mwaka 2017. Inaweza kuwa inawezekana kukusanya binary kwa usanifu wa arm64 lakini itabidi ujaribu mwenyewe.
Ikiwa unakutana na kosa hili: osxpmem.app/MacPmem.kext failed to load - (libkern/kext) authentication failure (file ownership/permissions); check the system/kernel logs for errors or try kextutil(8)
Unaweza kulitatua kwa kufanya:
Makosa mengine yanaweza kurekebishwa kwa kuruhusu upakiaji wa kext katika "Usalama & Faragha --> Kawaida", tu ruhusu.
Unaweza pia kutumia hii oneliner kupakua programu, kupakia kext na kutupa kumbukumbu:
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)