WhiteIntel

WhiteIntel ni injini ya utaftaji inayotumiwa na dark-web inayotoa huduma za bure za kuangalia ikiwa kampuni au wateja wake wameathiriwa na malwares za wizi.

Lengo kuu la WhiteIntel ni kupambana na utekaji wa akaunti na mashambulio ya ransomware yanayotokana na malware za kuiba taarifa.

Unaweza kutembelea tovuti yao na kujaribu injini yao bure kwa:

Vitu vya Kumbukumbu

Faili za Kubadilishana

Faili za kubadilishana, kama vile /private/var/vm/swapfile0, hutumika kama cache wakati kumbukumbu ya kimwili imejaa. Wakati hakuna nafasi tena kwenye kumbukumbu ya kimwili, data yake inahamishwa kwenye faili ya kubadilishana na kisha kurudishwa kwenye kumbukumbu ya kimwili kama inavyohitajika. Inaweza kuwepo faili nyingi za kubadilishana, zenye majina kama swapfile0, swapfile1, na kadhalika.

Picha ya Kulala

Faili iliyoko kwenye /private/var/vm/sleepimage ni muhimu wakati wa hali ya kulala. Data kutoka kwenye kumbukumbu inahifadhiwa kwenye faili hii wakati OS X inalala. Wakati wa kuamsha kompyuta, mfumo unapata data ya kumbukumbu kutoka kwenye faili hii, kuruhusu mtumiaji kuendelea pale walipoishia.

Ni muhimu kutambua kwamba kwenye mifumo ya MacOS ya kisasa, faili hii kawaida imefichwa kwa sababu za usalama, ikifanya kupona kuwa ngumu.

• Ili kuthibitisha ikiwa uchawi umewezeshwa kwa sleepimage, amri sysctl vm.swapusage inaweza kutumika. Hii itaonyesha ikiwa faili imefichwa.

Kumbukumbu ya Shinikizo la Kumbukumbu

Faili nyingine muhimu inayohusiana na kumbukumbu kwenye mifumo ya MacOS ni kumbukumbu ya shinikizo la kumbukumbu. Kumbukumbu hizi ziko kwenye /var/log na zina habari kamili kuhusu matumizi ya kumbukumbu ya mfumo na matukio ya shinikizo. Zinaweza kuwa muhimu hasa kwa kugundua masuala yanayohusiana na kumbukumbu au kuelewa jinsi mfumo unavyosimamia kumbukumbu kwa muda.

Kudondosha kumbukumbu na osxpmem

Ili kudondosha kumbukumbu kwenye kifaa cha MacOS unaweza kutumia osxpmem.

Maelezo: Maelekezo yafuatayo yatafanya kazi kwa Macs zenye muundo wa Intel tu. Zana hii sasa imehifadhiwa na toleo la mwisho lilikuwa mwaka 2017. Binari iliyopakuliwa kwa kutumia maelekezo yaliyotolewa hapa inalenga chips za Intel kwani Apple Silicon haikuwepo mwaka 2017. Inaweza kuwa inawezekana kuchakata binari kwa muundo wa arm64 lakini utalazimika kujaribu mwenyewe.

#Dump raw format
sudo osxpmem.app/osxpmem --format raw -o /tmp/dump_mem

#Dump aff4 format
sudo osxpmem.app/osxpmem -o /tmp/dump_mem.aff4

Ikiwa unapata kosa hili: osxpmem.app/MacPmem.kext failed to load - (libkern/kext) authentication failure (file ownership/permissions); check the system/kernel logs for errors or try kextutil(8) Unaweza kulirekebisha kwa kufanya:

sudo cp -r osxpmem.app/MacPmem.kext "/tmp/"
sudo kextutil "/tmp/MacPmem.kext"
#Allow the kext in "Security & Privacy --> General"
sudo osxpmem.app/osxpmem --format raw -o /tmp/dump_mem

Makosa mengine yanaweza kusuluhishwa kwa kuruhusu mzigo wa kext katika "Usalama & Faragha --> Jumla", tu ruhusu.

Unaweza pia kutumia hii mistari moja kupakua programu, kuiruhusu kext na kudondosha kumbukumbu:

sudo su
cd /tmp; wget https://github.com/google/rekall/releases/download/v1.5.1/osxpmem-2.1.post4.zip; unzip osxpmem-2.1.post4.zip; chown -R root:wheel osxpmem.app/MacPmem.kext; kextload osxpmem.app/MacPmem.kext; osxpmem.app/osxpmem --format raw -o /tmp/dump_mem

WhiteIntel

WhiteIntel ni injini ya utaftaji inayotumia dark-web ambayo inatoa huduma za bure za kuangalia ikiwa kampuni au wateja wake wameathiriwa na malwares za kuiba.

Lengo kuu la WhiteIntel ni kupambana na utekaji wa akaunti na mashambulio ya ransomware yanayotokana na programu hasidi za kuiba taarifa.

Unaweza kutembelea tovuti yao na kujaribu injini yao bure kwa: