Získání obrazu paměti pomocí nástroje Mac Memory Reader

Praktický příklad vytvoření obrazu operační paměti systému MacOS pomocí nástroje Mac Memory Reader.

Příprava mimo podezřelý počítač

  1. Stáhnutí Mac Memory Reader.
  2. Rozbalení nástroje na flash disk / vypálení na CD.

Co je potřeba k zásahu

  • Flashdisk s Mac Memory Readerem.
  • Externí disk dostatečné velikosti.
  • Znalost rootovského hesla.

Operace s podezřelým počítačem

  1. Vložení flashdisku / CD s Mac Memory Readerem.
  2. Připojení externího média (externí disk, dostatečně velký flashdisk).
  3. Otevření příkazového řádku (konzole).
  4. Spuštění příkazu pro vytvoření obrazu 
    $ sudo ./MacMemoryReader - | split -b 2048m - /Volumes/STORAGE/pamet_jablka.mach-o`
Password:

Dumping memory regions:
available  0000000000000000 (568.00 KB)                               [WRITTEN]
ACPI_NVS   000000000008f000 (4.00 KB)                                 [WRITTEN]
available  0000000000090000 (64.00 KB)                                [WRITTEN]
LoaderData 0000000000100000 (60.00 KB)                                [WRITTEN]
available  000000000010f000 (964.00 KB)                               [WRITTEN]
LoaderData 0000000000200000 (33.77 MB)                                [WRITTEN]
RT_data    00000000023c5000 (124.00 KB)                               [WRITTEN]
...
available  000000008b7ff000 (4.00 KB)                                 [WRITTEN]
available  0000000100000000 (5.75 GB)                                 [WRITTEN]
Reported physical memory: 8589934592 bytes (8.00 GB)
Statistics for each physical memory segment type:
  reserved: 5 segments, 44212224 bytes (42.16 MB) -- assigned to unreadable device
  LoaderCode: 2 segments, 200704 bytes (196.00 KB) -- WRITTEN
  LoaderData: 3 segments, 35655680 bytes (34.00 MB) -- WRITTEN
  BS_code: 69 segments, 1970176 bytes (1.88 MB) -- WRITTEN
  BS_data: 73 segments, 41263104 bytes (39.35 MB) -- WRITTEN
  RT_code: 1 segment, 172032 bytes (168.00 KB) -- WRITTEN
  RT_data: 2 segments, 131072 bytes (128.00 KB) -- WRITTEN
  available: 16 segments, 8433991680 bytes (7.85 GB) -- WRITTEN
  ACPI_recl: 1 segment, 106496 bytes (104.00 KB) -- WRITTEN
  ACPI_NVS: 2 segments, 512000 bytes (500.00 KB) -- WRITTEN
  MemMapIO: 3 segments, 167936 bytes (164.00 KB) -- assigned to unreadable device
  Total memory written: 8514002944 bytes (7.93 GB)
  Total memory assigned to unreadable devices (not written): 44380160 bytes (42.32 MB)
  Reported memory not in the physical memory map: 31551488 bytes (30.09 MB)
  5. Na zvoleném výstupním zařízení se nacházejí soubory 
    /Volumes/STORAGE/pamet_jablka.mach-oaa (2.15GB)
/Volumes/STORAGE/pamet_jablka.mach-oab (2.15GB)
/Volumes/STORAGE/pamet_jablka.mach-oac (2.15GB)
/Volumes/STORAGE/pamet_jablka.mach-oad (2.07GB)

    Jejich spojením (v abecedním pořadí a na souborovém systému zvládajícím takto velký soubor) pak vznikne obraz celé paměti, vlastní složení není třeba provádět, to už obstarají pracovníci forenzní laboratoře.

  6. Odebrání externího média a média s Mac Memory Readerem
  7. Vypnutí počítače vytažením napájecího kabelu