hacktricks/macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/macos-memory-dumping.md

Zrzucanie pamięci w macOS

Zacznij od zera i stań się ekspertem od hakowania AWS dzięki htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

• Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLAN SUBSKRYPCYJNY!
• Zdobądź oficjalne gadżety PEASS & HackTricks
• Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
• Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @carlospolopm.
• Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud na GitHubie.

WhiteIntel

WhiteIntel to dark-web-owy silnik wyszukiwania oferujący darmowe funkcje sprawdzania, czy firma lub jej klienci zostali skompromitowani przez złośliwe oprogramowanie kradnące dane.

Głównym celem WhiteIntel jest zwalczanie przejęć kont i ataków ransomware wynikających z oprogramowania kradnącego informacje.

Możesz sprawdzić ich stronę internetową i wypróbować ich silnik za darmo pod adresem:

{% embed url="https://whiteintel.io" %}

---

Artefakty pamięci

Pliki wymiany

Pliki wymiany, takie jak /private/var/vm/swapfile0, służą jako bufory, gdy pamięć fizyczna jest pełna. Gdy nie ma już miejsca w pamięci fizycznej, jej dane są przenoszone do pliku wymiany, a następnie przywracane do pamięci fizycznej w razie potrzeby. Może istnieć wiele plików wymiany o nazwach takich jak swapfile0, swapfile1, itd.

Obraz hibernacji

Plik znajdujący się pod ścieżką /private/var/vm/sleepimage jest kluczowy podczas trybu hibernacji. Dane z pamięci są przechowywane w tym pliku podczas hibernacji systemu OS X. Po wybudzeniu komputera system odzyskuje dane pamięci z tego pliku, pozwalając użytkownikowi kontynuować pracę tam, gdzie skończył.

Warto zauważyć, że w nowoczesnych systemach MacOS ten plik jest zazwyczaj szyfrowany ze względów bezpieczeństwa, co utrudnia odzyskanie danych.

• Aby sprawdzić, czy szyfrowanie jest włączone dla sleepimage, można uruchomić polecenie sysctl vm.swapusage. Pokaże to, czy plik jest zaszyfrowany.

Dzienniki ciśnienia pamięci

Innym ważnym plikiem związanym z pamięcią w systemach MacOS są dzienniki ciśnienia pamięci. Te dzienniki znajdują się w /var/log i zawierają szczegółowe informacje o użyciu pamięci systemu i zdarzeniach związanych z ciśnieniem pamięci. Mogą być szczególnie przydatne do diagnozowania problemów związanych z pamięcią lub zrozumienia sposobu zarządzania pamięcią przez system w czasie.

Zrzucanie pamięci za pomocą osxpmem

Aby zrzucić pamięć w maszynie z systemem MacOS, można użyć osxpmem.

Uwaga: Poniższe instrukcje będą działać tylko dla komputerów Mac z architekturą Intel. Ten narzędzie jest teraz zarchiwizowane, a ostatnie wydanie miało miejsce w 2017 roku. Pobrany binarny plik za pomocą poniższych instrukcji jest przeznaczony dla chipów Intel, ponieważ Apple Silicon nie istniał w 2017 roku. Możliwe jest skompilowanie binarnego pliku dla architektury arm64, ale będziesz musiał spróbować samodzielnie.

#Dump raw format
sudo osxpmem.app/osxpmem --format raw -o /tmp/dump_mem

#Dump aff4 format
sudo osxpmem.app/osxpmem -o /tmp/dump_mem.aff4

Jeśli napotkasz ten błąd: osxpmem.app/MacPmem.kext nie udało się załadować - (libkern/kext) błąd uwierzytelniania (własność pliku/uprawnienia); sprawdź dzienniki systemowe/jądra w poszukiwaniu błędów lub spróbuj kextutil(8) Możesz to naprawić wykonując:

sudo cp -r osxpmem.app/MacPmem.kext "/tmp/"
sudo kextutil "/tmp/MacPmem.kext"
#Allow the kext in "Security & Privacy --> General"
sudo osxpmem.app/osxpmem --format raw -o /tmp/dump_mem

Inne błędy można naprawić, zezwalając na załadowanie kext w "Bezpieczeństwo i prywatność --> Ogólne", po prostu zezwól na to.

Możesz także użyć tego onelinera do pobrania aplikacji, załadowania kext i zrzucenia pamięci:

{% code overflow="wrap" %}

sudo su
cd /tmp; wget https://github.com/google/rekall/releases/download/v1.5.1/osxpmem-2.1.post4.zip; unzip osxpmem-2.1.post4.zip; chown -R root:wheel osxpmem.app/MacPmem.kext; kextload osxpmem.app/MacPmem.kext; osxpmem.app/osxpmem --format raw -o /tmp/dump_mem

{% endcode %}

WhiteIntel

WhiteIntel to wyszukiwarka zasilana przez dark web, która oferuje darmowe funkcje do sprawdzenia, czy firma lub jej klienci zostali skompromitowani przez złośliwe oprogramowanie kradnące informacje.

Ich głównym celem WhiteIntel jest zwalczanie przejęć kont i ataków ransomware wynikających z złośliwego oprogramowania kradnącego informacje.

Możesz sprawdzić ich stronę internetową i wypróbować ich silnik za darmo pod adresem:

{% embed url="https://whiteintel.io" %}

Zacznij od zera i zostań ekspertem AWS w hakowaniu dzięki htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

• Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLANY SUBSKRYPCYJNE!
• Kup oficjalne gadżety PEASS & HackTricks
• Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
• Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @carlospolopm.
• Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud github repos.