AVML (Acquire Volatile Memory for Linux)

Índex

1 Introducció

Programa stand alone de Microsoft per fer adquisició de memòria volàtil (RAM) en sistemes Linux.

2 Instal·lació

Es pot simplement descarregar el binari pre-compilat de l'última release i donar-hi permissos d'execució,ja que és portable.

Recomanable no fer la descàrrega en el sistema a estudiar, sino en l'estació d'investigació i portar-ho en un USB on a mes es guardarà l'evidència.

wget https://github.com/microsoft/avml/releases/download/v0.3.0/avml
chmod a+x avml

3 Ús

3.1 Bàsic

./avml ./evidencies/avml.lime

3.2 Amb compressió

./avml --compress ./evidencies/avml.lime.compressed

3.3 Generar Hash

Donat que no té cap mena d'opció, caldrà generar el Hash de l'arxiu generat a porteriori (un cop acabada l'extracció).

3.4 Adquisició per xarxa

De nou, no té opcions per extreure la RAM per xarxa, per tant caldrà fer-ho en local i després passar-ho amb nc per exemple, i fer una verificació de hash.

4 Webgrafía

Data: 2021-04-08 dj. 00:00

Autor: Raul Gimenez Herrada

Created: 2021-10-07 dj. 16:34