macOS Memory Dumping

htARTE（HackTricks AWS Red Team Expert）でAWSハッキングをゼロからヒーローまで学ぶ htARTE（HackTricks AWS Red Team Expert）！

HackTricksをサポートする他の方法：

HackTricksで企業を宣伝したいまたはHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください！
公式PEASS＆HackTricksスワッグを入手する
The PEASS Familyを発見し、独占的なNFTsのコレクションを見つける
💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦でフォローする @carlospolopm。
HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。

WhiteIntel

WhiteIntelは、ダークウェブを活用した検索エンジンで、企業やその顧客が スティーラーマルウェアによって侵害されているかどうかをチェックする無料機能を提供しています。

WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。

彼らのウェブサイトをチェックして、無料でエンジンを試すことができます：

WhiteIntel

メモリアーティファクト

スワップファイル

/private/var/vm/swapfile0などのスワップファイルは、物理メモリがいっぱいのときのキャッシュとして機能します。物理メモリにもうスペースがない場合、そのデータはスワップファイルに転送され、必要に応じて物理メモリに戻されます。swapfile0、swapfile1などの名前で複数のスワップファイルが存在する可能性があります。

ハイバネーションイメージ

/private/var/vm/sleepimageにあるファイルは、ハイバネーションモード中に重要です。OS Xが休止状態に入るときに、メモリからのデータがこのファイルに保存されます。コンピューターを起動すると、システムはこのファイルからメモリデータを取得し、ユーザーが中断したところから続行できるようにします。

現代のMacOSシステムでは、セキュリティ上の理由から、このファイルが通常暗号化されているため、回復が困難になっています。

sleepimageの暗号化が有効になっているかどうかを確認するには、sysctl vm.swapusageコマンドを実行します。これにより、ファイルが暗号化されているかどうかが表示されます。

メモリプレッシャーログ

MacOSシステムのもう1つの重要なメモリ関連ファイルはメモリプレッシャーログです。これらのログは/var/logにあり、システムのメモリ使用状況やプレッシャーイベントに関する詳細な情報を含んでいます。これらは、メモリ関連の問題の診断や、システムが時間の経過とともにメモリをどのように管理しているかを理解するのに特に役立ちます。

osxpmemを使用したメモリーダンプ

MacOSマシンでメモリをダンプするためには、osxpmemを使用できます。

注意: 以下の手順は、Intelアーキテクチャを搭載したMacでのみ機能します。このツールは現在アーカイブされており、最後のリリースは2017年に行われました。以下の手順でダウンロードしたバイナリは、Apple Siliconが2017年には存在しなかったため、Intelチップをターゲットにしています。arm64アーキテクチャ向けにバイナリをコンパイルすることも可能かもしれませんが、自分で試してみる必要があります。

#Dump raw format
sudo osxpmem.app/osxpmem --format raw -o /tmp/dump_mem

#Dump aff4 format
sudo osxpmem.app/osxpmem -o /tmp/dump_mem.aff4

もし次のエラーが見つかった場合：osxpmem.app/MacPmem.kext failed to load - (libkern/kext) authentication failure (file ownership/permissions); check the system/kernel logs for errors or try kextutil(8) 以下の手順で修正できます：

sudo cp -r osxpmem.app/MacPmem.kext "/tmp/"
sudo kextutil "/tmp/MacPmem.kext"
#Allow the kext in "Security & Privacy --> General"
sudo osxpmem.app/osxpmem --format raw -o /tmp/dump_mem

その他のエラーは、"セキュリティとプライバシー --> 一般"でkextの読み込みを許可することで修正できるかもしれません。単に許可してください。

また、このワンライナーを使用してアプリケーションをダウンロードし、kextをロードしてメモリをダンプすることもできます:

sudo su
cd /tmp; wget https://github.com/google/rekall/releases/download/v1.5.1/osxpmem-2.1.post4.zip; unzip osxpmem-2.1.post4.zip; chown -R root:wheel osxpmem.app/MacPmem.kext; kextload osxpmem.app/MacPmem.kext; osxpmem.app/osxpmem --format raw -o /tmp/dump_mem

WhiteIntel

WhiteIntelは、ダークウェブを活用した検索エンジンで、企業やその顧客が盗難マルウェアによって侵害されていないかをチェックする無料の機能を提供しています。

WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。

彼らのウェブサイトをチェックし、無料でエンジンを試すことができます：

WhiteIntel

**htARTE（HackTricks AWS Red Team Expert）**でゼロからヒーローまでAWSハッキングを学ぶ

HackTricksをサポートする他の方法：

HackTricksで企業を宣伝したい、またはHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください！
公式PEASS＆HackTricksスワッグを入手する
The PEASS Familyを発見し、独占的なNFTsのコレクションを見つける
**💬 Discordグループに参加するか、telegramグループに参加するか、Twitter 🐦 @carlospolopmをフォローする。
ハッキングトリックを共有するために、HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出する。

PreviousmacOS Installers Abuse NextmacOS Sensitive Locations & Interesting Daemons

Last updated 3 days ago