macOS Memory Dumping
WhiteIntel to dark-web-owy silnik wyszukiwania oferujący darmowe funkcje sprawdzania, czy firma lub jej klienci zostali skompromitowani przez złośliwe oprogramowanie kradnące dane.
Głównym celem WhiteIntel jest zwalczanie przejęć kont i ataków ransomware wynikających z oprogramowania kradnącego informacje.
Możesz sprawdzić ich stronę internetową i wypróbować ich silnik za darmo pod adresem:
Artefakty pamięci
Pliki wymiany
Pliki wymiany, takie jak /private/var/vm/swapfile0
, służą jako bufory, gdy pamięć fizyczna jest pełna. Gdy nie ma już miejsca w pamięci fizycznej, jej dane są przenoszone do pliku wymiany, a następnie przywracane do pamięci fizycznej w razie potrzeby. Może istnieć wiele plików wymiany o nazwach takich jak swapfile0, swapfile1, itd.
Obraz hibernacji
Plik znajdujący się pod ścieżką /private/var/vm/sleepimage
jest kluczowy podczas trybu hibernacji. Dane z pamięci są przechowywane w tym pliku podczas hibernacji systemu OS X. Po wybudzeniu komputera system odzyskuje dane pamięci z tego pliku, pozwalając użytkownikowi kontynuować pracę tam, gdzie skończył.
Warto zauważyć, że w nowoczesnych systemach MacOS ten plik jest zazwyczaj szyfrowany ze względów bezpieczeństwa, co utrudnia odzyskanie danych.
Aby sprawdzić, czy szyfrowanie jest włączone dla sleepimage, można uruchomić polecenie
sysctl vm.swapusage
. Pokaże to, czy plik jest zaszyfrowany.
Dzienniki ciśnienia pamięci
Innym ważnym plikiem związanym z pamięcią w systemach MacOS są dzienniki ciśnienia pamięci. Te dzienniki znajdują się w /var/log
i zawierają szczegółowe informacje o użyciu pamięci systemu i zdarzeniach związanych z ciśnieniem pamięci. Mogą być szczególnie przydatne do diagnozowania problemów związanych z pamięcią lub zrozumienia sposobu zarządzania pamięcią przez system w czasie.
Zrzucanie pamięci za pomocą osxpmem
Aby zrzucić pamięć w maszynie z systemem MacOS, można użyć osxpmem.
Uwaga: Poniższe instrukcje będą działać tylko dla komputerów Mac z architekturą Intel. Ten narzędzie jest teraz zarchiwizowane, a ostatnie wydanie miało miejsce w 2017 roku. Pobrany binarny plik za pomocą poniższych instrukcji jest przeznaczony dla chipów Intel, ponieważ Apple Silicon nie istniał w 2017 roku. Możliwe jest skompilowanie binarnego pliku dla architektury arm64, ale będziesz musiał spróbować samodzielnie.
Jeśli napotkasz ten błąd: osxpmem.app/MacPmem.kext nie udało się załadować - (libkern/kext) błąd uwierzytelniania (własność pliku/uprawnienia); sprawdź dzienniki systemowe/jądra w poszukiwaniu błędów lub spróbuj kextutil(8)
Możesz to naprawić wykonując:
Inne błędy można naprawić, zezwalając na załadowanie kext w "Bezpieczeństwo i prywatność --> Ogólne", po prostu zezwól na to.
Możesz także użyć tego onelinera do pobrania aplikacji, załadowania kext i zrzucenia pamięci:
WhiteIntel to wyszukiwarka zasilana przez dark web, która oferuje darmowe funkcje do sprawdzenia, czy firma lub jej klienci zostali skompromitowani przez złośliwe oprogramowanie kradnące informacje.
Ich głównym celem WhiteIntel jest zwalczanie przejęć kont i ataków ransomware wynikających z złośliwego oprogramowania kradnącego informacje.
Możesz sprawdzić ich stronę internetową i wypróbować ich silnik za darmo pod adresem:
Last updated