Linux มีการจัดการระบบเป็นลักษณะของ file base ดังนั้นการจะทำการ dump memory ก็สามารถทำโดยการ copy ไฟล์ได้ด้วยเช่นกัน ซึ่งโดยปกติไฟล์ที่จะทำการ copy จะเป็นไฟล์ /dev/mem, /dev/fmem, /dev/crash และ swap ไฟล์ต่างๆ แต่เนื่องด้วยเมื่อมีการพัฒนาต่อมาเรื่อยๆ ก็ได้มีการป้องกันการ copy ไฟล์ memory เหล่านั้น ทำให้เราไม่สามารถ copy file เหล่านั้นได้ตรงๆ สิ่งที่เราสามารถทำได้คือการใช้เครื่องมืออย่าง LiME (Linux Memory Extractor) โหลดไปเป็น kernel Module จากนั้นจึงเริ่มทำการ dump memory ออกมา โดยขั้นตอนมีดังนี้

(ระบบปฏิบัติการที่ทดสอบคือ Ubuntu 16.04 32bit)

1. Download source code ของ LiME จาก Github

2. เข้าไปที่ src จากนั้น compile

3. นำไฟล์ lime-4.8.0-46-generic.ko ไปที่เครื่องที่จะทำการ forensic

4. ทำการ load LiME เข้าไปเป็น kernel module + dump memory

  • path คือตัวแปลที่จะกำหนด path สำหรับการ save memory image file
  • format คือรูปแบบของ memory image file โดยมีทั้ง RAW คือเอา memory ทั้งหมด, Padded คือเอา memory ทั้งหมดแล้วแทนที่ที่ไม่ใช่ RAM ทั้งหมดด้วย bit 0, Lime

เมื่อเสร็จแล้วเราจะได้ memory image คือ /media/thumbdrive/test.bin

หรือจะใช้อีกรูปแบบเป็น

จากนั้นถ้าต้องการจะ dump memory ให้ใช้คำสั่ง

Source:: LiME