macOS Memory Dumping
WhiteIntelは、ダークウェブを活用した検索エンジンで、企業やその顧客が スティーラーマルウェアによって侵害されているかどうかをチェックする無料機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックして、無料でエンジンを試すことができます:
メモリアーティファクト
スワップファイル
/private/var/vm/swapfile0
などのスワップファイルは、物理メモリがいっぱいのときのキャッシュとして機能します。物理メモリにもうスペースがない場合、そのデータはスワップファイルに転送され、必要に応じて物理メモリに戻されます。swapfile0、swapfile1などの名前で複数のスワップファイルが存在する可能性があります。
ハイバネーションイメージ
/private/var/vm/sleepimage
にあるファイルは、ハイバネーションモード中に重要です。OS Xが休止状態に入るときに、メモリからのデータがこのファイルに保存されます。コンピューターを起動すると、システムはこのファイルからメモリデータを取得し、ユーザーが中断したところから続行できるようにします。
現代のMacOSシステムでは、セキュリティ上の理由から、このファイルが通常暗号化されているため、回復が困難になっています。
sleepimageの暗号化が有効になっているかどうかを確認するには、
sysctl vm.swapusage
コマンドを実行します。これにより、ファイルが暗号化されているかどうかが表示されます。
メモリプレッシャーログ
MacOSシステムのもう1つの重要なメモリ関連ファイルはメモリプレッシャーログです。これらのログは/var/log
にあり、システムのメモリ使用状況やプレッシャーイベントに関する詳細な情報を含んでいます。これらは、メモリ関連の問題の診断や、システムが時間の経過とともにメモリをどのように管理しているかを理解するのに特に役立ちます。
osxpmemを使用したメモリーダンプ
MacOSマシンでメモリをダンプするためには、osxpmemを使用できます。
注意: 以下の手順は、Intelアーキテクチャを搭載したMacでのみ機能します。このツールは現在アーカイブされており、最後のリリースは2017年に行われました。以下の手順でダウンロードしたバイナリは、Apple Siliconが2017年には存在しなかったため、Intelチップをターゲットにしています。arm64アーキテクチャ向けにバイナリをコンパイルすることも可能かもしれませんが、自分で試してみる必要があります。
もし次のエラーが見つかった場合:osxpmem.app/MacPmem.kext failed to load - (libkern/kext) authentication failure (file ownership/permissions); check the system/kernel logs for errors or try kextutil(8)
以下の手順で修正できます:
その他のエラーは、"セキュリティとプライバシー --> 一般"でkextの読み込みを許可することで修正できるかもしれません。単に許可してください。
また、このワンライナーを使用してアプリケーションをダウンロードし、kextをロードしてメモリをダンプすることもできます:
WhiteIntelは、ダークウェブを活用した検索エンジンで、企業やその顧客が盗難マルウェアによって侵害されていないかをチェックする無料の機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックし、無料でエンジンを試すことができます:
Last updated