6.8 KiB
Dumping della memoria di macOS
Impara l'hacking di AWS da zero a eroe con htARTE (Esperto Red Team AWS di HackTricks)!
Altri modi per supportare HackTricks:
- Se desideri vedere la tua azienda pubblicizzata su HackTricks o scaricare HackTricks in PDF Controlla i PIANI DI ABBONAMENTO!
- Ottieni il merchandising ufficiale di PEASS & HackTricks
- Scopri La Famiglia PEASS, la nostra collezione esclusiva di NFT
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @carlospolopm.
- Condividi i tuoi trucchi di hacking inviando PR a HackTricks e HackTricks Cloud repos di github.
WhiteIntel
WhiteIntel è un motore di ricerca alimentato dal dark web che offre funzionalità gratuite per verificare se un'azienda o i suoi clienti sono stati compromessi da malware ruba-informazioni.
Il loro obiettivo principale è combattere i takeover di account e gli attacchi ransomware derivanti da malware che rubano informazioni.
Puoi visitare il loro sito web e provare il loro motore gratuitamente su:
{% embed url="https://whiteintel.io" %}
Artefatti di memoria
File di swap
I file di swap, come /private/var/vm/swapfile0
, fungono da cache quando la memoria fisica è piena. Quando non c'è più spazio nella memoria fisica, i dati vengono trasferiti in un file di swap e poi riportati nella memoria fisica secondo necessità. Potrebbero essere presenti più file di swap, con nomi come swapfile0, swapfile1, e così via.
Immagine di ibernazione
Il file situato in /private/var/vm/sleepimage
è cruciale durante la modalità di ibernazione. I dati dalla memoria vengono memorizzati in questo file quando macOS va in ibernazione. Al risveglio del computer, il sistema recupera i dati di memoria da questo file, consentendo all'utente di continuare da dove aveva lasciato.
È importante notare che su sistemi MacOS moderni, questo file è tipicamente crittografato per motivi di sicurezza, rendendo difficile il recupero.
- Per verificare se la crittografia è abilitata per il sleepimage, è possibile eseguire il comando
sysctl vm.swapusage
. Questo mostrerà se il file è crittografato.
Log della pressione di memoria
Un altro file importante relativo alla memoria nei sistemi MacOS è il log della pressione di memoria. Questi log si trovano in /var/log
e contengono informazioni dettagliate sull'utilizzo della memoria del sistema e sugli eventi di pressione. Possono essere particolarmente utili per diagnosticare problemi legati alla memoria o per capire come il sistema gestisce la memoria nel tempo.
Dump della memoria con osxpmem
Per eseguire il dump della memoria in una macchina MacOS puoi utilizzare osxpmem.
Nota: Le istruzioni seguenti funzioneranno solo per i Mac con architettura Intel. Questo strumento è ora archiviato e l'ultima versione risale al 2017. Il binario scaricato seguendo le istruzioni di seguito si rivolge ai chip Intel poiché Apple Silicon non era presente nel 2017. Potrebbe essere possibile compilare il binario per l'architettura arm64, ma dovrai provare da solo.
#Dump raw format
sudo osxpmem.app/osxpmem --format raw -o /tmp/dump_mem
#Dump aff4 format
sudo osxpmem.app/osxpmem -o /tmp/dump_mem.aff4
Se trovi questo errore: osxpmem.app/MacPmem.kext non è riuscito a caricare - (libkern/kext) autenticazione fallita (proprietà/permessi del file); controlla i log di sistema/kernel per gli errori o prova kextutil(8)
Puoi risolverlo facendo:
sudo cp -r osxpmem.app/MacPmem.kext "/tmp/"
sudo kextutil "/tmp/MacPmem.kext"
#Allow the kext in "Security & Privacy --> General"
sudo osxpmem.app/osxpmem --format raw -o /tmp/dump_mem
Altri errori potrebbero essere risolti consentendo il caricamento del kext in "Sicurezza e Privacy --> Generale", basta consentirlo.
Puoi anche utilizzare questo oneliner per scaricare l'applicazione, caricare il kext e eseguire il dump della memoria:
{% code overflow="wrap" %}
sudo su
cd /tmp; wget https://github.com/google/rekall/releases/download/v1.5.1/osxpmem-2.1.post4.zip; unzip osxpmem-2.1.post4.zip; chown -R root:wheel osxpmem.app/MacPmem.kext; kextload osxpmem.app/MacPmem.kext; osxpmem.app/osxpmem --format raw -o /tmp/dump_mem
{% endcode %}
WhiteIntel
WhiteIntel è un motore di ricerca alimentato dal dark web che offre funzionalità gratuite per verificare se un'azienda o i suoi clienti sono stati compromessi da malware ruba-informazioni.
Il loro obiettivo principale di WhiteIntel è combattere i takeover di account e gli attacchi ransomware derivanti da malware che rubano informazioni.
Puoi visitare il loro sito web e provare il loro motore gratuitamente su:
{% embed url="https://whiteintel.io" %}
Impara l'hacking AWS da zero a eroe con htARTE (HackTricks AWS Red Team Expert)!
Altri modi per supportare HackTricks:
- Se desideri vedere la tua azienda pubblicizzata in HackTricks o scaricare HackTricks in PDF Controlla i PIANI DI ABBONAMENTO!
- Ottieni il merchandising ufficiale PEASS & HackTricks
- Scopri The PEASS Family, la nostra collezione di NFT esclusivi
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @carlospolopm.
- Condividi i tuoi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repository di Github.