macOS Memory Dumping
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Bellek Artifaktları
Takas Dosyaları
Takas dosyaları, /private/var/vm/swapfile0
gibi, fiziksel bellek dolduğunda önbellek olarak hizmet eder. Fiziksel bellek dolduğunda, veriler bir takas dosyasına aktarılır ve ihtiyaç duyulduğunda tekrar fiziksel belleğe getirilir. swapfile0, swapfile1 gibi birden fazla takas dosyası bulunabilir.
Hibernasyon Görüntüsü
/private/var/vm/sleepimage
konumundaki dosya, hibernasyon modunda kritik öneme sahiptir. OS X hibernasyona geçtiğinde bellek verileri bu dosyada saklanır. Bilgisayar uyandığında, sistem bu dosyadan bellek verilerini alır ve kullanıcının kaldığı yerden devam etmesine olanak tanır.
Modern MacOS sistemlerinde, bu dosyanın genellikle güvenlik nedenleriyle şifreli olduğunu ve kurtarmanın zor olduğunu belirtmek gerekir.
sleepimage için şifrelemenin etkin olup olmadığını kontrol etmek için
sysctl vm.swapusage
komutu çalıştırılabilir. Bu, dosyanın şifreli olup olmadığını gösterecektir.
Bellek Baskı Günlükleri
MacOS sistemlerinde başka bir önemli bellekle ilgili dosya bellek baskı günlüğüdür. Bu günlükler /var/log
konumunda bulunur ve sistemin bellek kullanımı ve baskı olayları hakkında ayrıntılı bilgi içerir. Bellekle ilgili sorunları teşhis etmek veya sistemin zamanla belleği nasıl yönettiğini anlamak için özellikle yararlı olabilir.
osxpmem ile bellek dökümü
Bir MacOS makinesinde belleği dökmek için osxpmem kullanabilirsiniz.
Not: Aşağıdaki talimatlar yalnızca Intel mimarisine sahip Mac'ler için geçerlidir. Bu araç artık arşivlenmiştir ve son sürümü 2017'de çıkmıştır. Aşağıdaki talimatlarla indirilen ikili dosya, 2017'de Apple Silicon olmadığı için Intel yongalarını hedef alır. arm64 mimarisi için ikili dosyayı derlemek mümkün olabilir, ancak bunu kendiniz denemeniz gerekecek.
Eğer bu hatayı bulursanız: osxpmem.app/MacPmem.kext yüklenemedi - (libkern/kext) kimlik doğrulama hatası (dosya sahipliği/izinleri); hatalar için sistem/kernel günlüklerini kontrol edin veya kextutil(8) deneyin
Bunu düzeltmek için:
Diğer hatalar, "Güvenlik ve Gizlilik --> Genel" bölümünde kext'in yüklenmesine izin vererek düzeltilebilir, sadece izin verin.
Ayrıca bu tek satırlık komutu uygulamayı indirmek, kext'i yüklemek ve belleği dökmek için kullanabilirsiniz:
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
Last updated