hacktricks/macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/macos-memory-dumping.md

6.8 KiB

Dumping della memoria di macOS

Impara l'hacking di AWS da zero a eroe con htARTE (Esperto Red Team AWS di HackTricks)!

Altri modi per supportare HackTricks:

WhiteIntel

WhiteIntel è un motore di ricerca alimentato dal dark web che offre funzionalità gratuite per verificare se un'azienda o i suoi clienti sono stati compromessi da malware ruba-informazioni.

Il loro obiettivo principale è combattere i takeover di account e gli attacchi ransomware derivanti da malware che rubano informazioni.

Puoi visitare il loro sito web e provare il loro motore gratuitamente su:

{% embed url="https://whiteintel.io" %}


Artefatti di memoria

File di swap

I file di swap, come /private/var/vm/swapfile0, fungono da cache quando la memoria fisica è piena. Quando non c'è più spazio nella memoria fisica, i dati vengono trasferiti in un file di swap e poi riportati nella memoria fisica secondo necessità. Potrebbero essere presenti più file di swap, con nomi come swapfile0, swapfile1, e così via.

Immagine di ibernazione

Il file situato in /private/var/vm/sleepimage è cruciale durante la modalità di ibernazione. I dati dalla memoria vengono memorizzati in questo file quando macOS va in ibernazione. Al risveglio del computer, il sistema recupera i dati di memoria da questo file, consentendo all'utente di continuare da dove aveva lasciato.

È importante notare che su sistemi MacOS moderni, questo file è tipicamente crittografato per motivi di sicurezza, rendendo difficile il recupero.

  • Per verificare se la crittografia è abilitata per il sleepimage, è possibile eseguire il comando sysctl vm.swapusage. Questo mostrerà se il file è crittografato.

Log della pressione di memoria

Un altro file importante relativo alla memoria nei sistemi MacOS è il log della pressione di memoria. Questi log si trovano in /var/log e contengono informazioni dettagliate sull'utilizzo della memoria del sistema e sugli eventi di pressione. Possono essere particolarmente utili per diagnosticare problemi legati alla memoria o per capire come il sistema gestisce la memoria nel tempo.

Dump della memoria con osxpmem

Per eseguire il dump della memoria in una macchina MacOS puoi utilizzare osxpmem.

Nota: Le istruzioni seguenti funzioneranno solo per i Mac con architettura Intel. Questo strumento è ora archiviato e l'ultima versione risale al 2017. Il binario scaricato seguendo le istruzioni di seguito si rivolge ai chip Intel poiché Apple Silicon non era presente nel 2017. Potrebbe essere possibile compilare il binario per l'architettura arm64, ma dovrai provare da solo.

#Dump raw format
sudo osxpmem.app/osxpmem --format raw -o /tmp/dump_mem

#Dump aff4 format
sudo osxpmem.app/osxpmem -o /tmp/dump_mem.aff4

Se trovi questo errore: osxpmem.app/MacPmem.kext non è riuscito a caricare - (libkern/kext) autenticazione fallita (proprietà/permessi del file); controlla i log di sistema/kernel per gli errori o prova kextutil(8) Puoi risolverlo facendo:

sudo cp -r osxpmem.app/MacPmem.kext "/tmp/"
sudo kextutil "/tmp/MacPmem.kext"
#Allow the kext in "Security & Privacy --> General"
sudo osxpmem.app/osxpmem --format raw -o /tmp/dump_mem

Altri errori potrebbero essere risolti consentendo il caricamento del kext in "Sicurezza e Privacy --> Generale", basta consentirlo.

Puoi anche utilizzare questo oneliner per scaricare l'applicazione, caricare il kext e eseguire il dump della memoria:

{% code overflow="wrap" %}

sudo su
cd /tmp; wget https://github.com/google/rekall/releases/download/v1.5.1/osxpmem-2.1.post4.zip; unzip osxpmem-2.1.post4.zip; chown -R root:wheel osxpmem.app/MacPmem.kext; kextload osxpmem.app/MacPmem.kext; osxpmem.app/osxpmem --format raw -o /tmp/dump_mem

{% endcode %}

WhiteIntel

WhiteIntel è un motore di ricerca alimentato dal dark web che offre funzionalità gratuite per verificare se un'azienda o i suoi clienti sono stati compromessi da malware ruba-informazioni.

Il loro obiettivo principale di WhiteIntel è combattere i takeover di account e gli attacchi ransomware derivanti da malware che rubano informazioni.

Puoi visitare il loro sito web e provare il loro motore gratuitamente su:

{% embed url="https://whiteintel.io" %}

Impara l'hacking AWS da zero a eroe con htARTE (HackTricks AWS Red Team Expert)!

Altri modi per supportare HackTricks: