The Lime lastbare Kernel Module tillater digitale etterforskere for å utføre fysisk minne analyse på Linux og Linux-baserte enheter som Android smartphones. Lime kunne fange kjører nå og tidligere avsluttet apps, for eksempel, og IP-adressene til andre enheter som den har koblet til. I denne Linux.com intervju, Joe Sylve, senior sikkerhetsforsker ved digital etterforskning Solutions, forklarer hva kalk er og hvordan det fungerer
Linux.com. Hva er kalk og hva som er bakgrunnen bak utgivelsen
Joe Sylve: Lime (eller Linux Minne Extractor) er et verktøy som lar fangst av flyktig minne (RAM) fra en som kjører Linux-enhet. Det er den første i sitt slag som også støtter minne fangst fra Android-enheter. Forensics minne analyse er avgjørende for undersøkelser som flyktig minne inneholder et vell av informasjon som ellers er uopprettelig. Mangel på slik informasjon kan gjøre visse etterforsknings scenarier umulig, for eksempel når du utfører hendelsen respons eller analysere avansert malware som ikke reagerer med ikke-flyktig lagring.
I 2011 ble jeg gjøre noen undersøkelser på muligheten for å bruke Android-enheter for å få tilgang til gradert informasjon i en forensically sikker måte. The Department of Defense for tiden ikke tillater ansatte å få tilgang sensitive data fra sine mobile enheter i frykt for at dersom utstyret gikk tapt eller stjålet sensitive data kunne utvinnes fra dem. Den første fasen av denne forskningen var å utføre en detaljert rettsmedisinske analyser av utvalgte mobile enheter for å fastslå hvilke data som er lagret på enheten ved vanlige bruksmåter. Dette inkluderte data som kan utvinnes fra enhetens minne ved hjelp av " live " analyse.
standard metodikk for å skaffe en fangst av en enhet RAM har vært å bruke et verktøy som Ivan Kolar s FMEM Linux.com. LIME er ment å brukes til å fange bevis som kan være relevant i straffesaker og sivile undersøkelser, men det hindrer noen i å bruke kalk for å invadere noens privatliv Joe Sylve: Ved sin natur, er dataetterforskning forskning et tveegget sverd. Noen verktøy som kan være nyttig for etterforskning i en kriminell etterforskning har potensial til å påvirke brukerens personvern når misbrukt; Men for å kunne bruke kalk, må en etterforsker for å ha fysisk tilgang til enheten og verktøyet må være tilpasset utarbeidet for å jobbe for den spesifikke kjører kernel på enheten, slik at sjansene for at verktøyet kan brukes til å invadere noens privatliv uten deres viten er begrenset Linux.com. Hva blir det neste for prosjektet? Eventuelle ytterligere funksjoner eller reparasjoner i verk Joe Sylve: Lime er en lastbare Kernel Module, noe som betyr at det skal fungere må det være spesielt utarbeidet for å jobbe på kjernen versjonen at enheten er i gang. Det ville være fint om det var en felles innsats for å hjelpe kompilere kalk mot så mange kernel versjoner som mulig, slik at etterforskere og forskere kunne ha tilgang til et bibliotek av forhånds utarbeidet moduler for kjerne versjoner som kjører på de mest brukte enheter. Linux.com: Er det noe annet du ønsker å legge Joe Sylve: Lime er tilgjengelig for nedlasting fra vår hjemmeside. For noen av dine lesere som er interessert i de tekniske detaljene for Lime, har vi publisert et papir, innsamling og analyse av Volatile Memory fra Android-enheter, i Digital Investigation. En kopi av dette papiret er også tilgjengelig på våre nettsider. Anmeldelser
. Forsøk på å port FMEM
til Android mislyktes, på grunn av flere tekniske begrensninger, så det er derfor jeg utviklet kalk (da kjent som DMD). Etter å ha testet det, fant vi at Lime faktisk fungerte bedre enn FMEM
på å skape en forensically lyd fangst på Linux-enheter