Afrikaans - Ht
HackTricks Training Twitter Linkedin Sponsor

macOS Memory Dumping

Leer AWS hak vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

WhiteIntel

WhiteIntel is 'n donker-web aangedrewe soekenjin wat gratis funksies bied om te kyk of 'n maatskappy of sy kliënte gekompromiteer is deur steelware.

Die primêre doel van WhiteIntel is om rekening-oorneeminge en losgeldaanvalle te beveg wat voortspruit uit inligtingsteelware.

Jy kan hul webwerf besoek en hul enjin vir gratis probeer by:

Geheue Artefakte

Ruil Lêers

Ruil lêers, soos /private/var/vm/swapfile0, dien as kasgeheue wanneer die fisiese geheue vol is. Wanneer daar nie meer spasie in fisiese geheue is nie, word die data na 'n ruil lêer oorgedra en dan weer na fisiese geheue gebring soos benodig. Verskeie ruil lêers mag teenwoordig wees, met name soos swapfile0, swapfile1, ensovoorts.

Hiberneer Beeld

Die lêer wat geleë is by /private/var/vm/sleepimage is noodsaaklik tydens hibernasie-modus. Data vanaf geheue word in hierdie lêer gestoor wanneer OS X hiberneer. Met die ontwaking van die rekenaar, haal die stelsel geheuedata uit hierdie lêer, wat die gebruiker in staat stel om voort te gaan waar hulle opgehou het.

Dit is die moeite werd om op te let dat op moderne MacOS-stelsels, hierdie lêer tipies versleutel is vir veiligheidsredes, wat herwinning moeilik maak.

  • Om te kontroleer of versleuteling geaktiveer is vir die sleepimage, kan die opdrag sysctl vm.swapusage uitgevoer word. Dit sal wys of die lêer versleutel is.

Geheue Druk Logs

'n Ander belangrike geheue-verwante lêer in MacOS-stelsels is die geheue druk log. Hierdie logboeke is geleë in /var/log en bevat gedetailleerde inligting oor die stelsel se geheuegebruik en drukgebeure. Dit kan veral nuttig wees vir die diagnose van geheue-verwante probleme of om te verstaan hoe die stelsel geheue oor tyd bestuur.

Dumping geheue met osxpmem

Om die geheue in 'n MacOS-rekenaar te dump, kan jy osxpmem gebruik.

Nota: Die volgende instruksies sal slegs werk vir Macs met Intel-argitektuur. Hierdie instrument is nou ge-argiveer en die laaste vrystelling was in 2017. Die binêre lêer wat afgelaai is met die instruksies hieronder, teiken Intel skyfies aangesien Apple Silicon nie rondom was in 2017 nie. Dit mag moontlik wees om die binêre lêer vir arm64-argitektuur te kompileer, maar jy sal dit self moet probeer.

#Dump raw format
sudo osxpmem.app/osxpmem --format raw -o /tmp/dump_mem

#Dump aff4 format
sudo osxpmem.app/osxpmem -o /tmp/dump_mem.aff4

Indien jy hierdie fout vind: osxpmem.app/MacPmem.kext kon nie laai nie - (libkern/kext) verifikasie mislukking (lêer eienaarskap/permisies); kyk na die stelsel/kernel logs vir foute of probeer kextutil(8) Jy kan dit regmaak deur:

sudo cp -r osxpmem.app/MacPmem.kext "/tmp/"
sudo kextutil "/tmp/MacPmem.kext"
#Allow the kext in "Security & Privacy --> General"
sudo osxpmem.app/osxpmem --format raw -o /tmp/dump_mem

Ander foute kan dalk reggestel word deur die laai van die kext in "Sekuriteit & Privaatheid --> Algemeen", net laai dit.

Jy kan ook hierdie eenlynige kode gebruik om die aansoek af te laai, die kext te laai en die geheue te dump:

sudo su
cd /tmp; wget https://github.com/google/rekall/releases/download/v1.5.1/osxpmem-2.1.post4.zip; unzip osxpmem-2.1.post4.zip; chown -R root:wheel osxpmem.app/MacPmem.kext; kextload osxpmem.app/MacPmem.kext; osxpmem.app/osxpmem --format raw -o /tmp/dump_mem

WhiteIntel

WhiteIntel is 'n dark-web aangedrewe soekenjin wat gratis funksies bied om te kontroleer of 'n maatskappy of sy kliënte deur diewe malware gekompromiteer is.

Hul primêre doel van WhiteIntel is om rekening-oorneeminge en lospryse-aanvalle te beveg wat voortspruit uit inligtingsteel-malware.

Jy kan hul webwerf besoek en hul enjin gratis probeer by:

Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

PreviousmacOS Installers AbuseNextmacOS Sensitive Locations & Interesting Daemons

Last updated