Memdump

Neste post vou falar da ferramenta chamada memdump, capaz de realizar o dump da memória atual para um arquivo. Muito útil em uma investigação forense.

Realizando a instalação da ferramenta, baseado no sistema Debian:

# aptitude install memdump

Vamos a prática, irei exportar o conteúdo da memória para o arquivo despejo_mem.dump.

# memdump > despejo_mem.dump

Feito! temos o dump da memória, existe alguns métodos de realizar sua leitura, como através do comando strings:

#  strings despejo_mem.dump | grep -i virtualbox
Oracle VM VirtualBox Version 4.2.6 VGA BIOS

Olha que interessante o resultado, trouxe informações sobre minha maquina virtual.

Existe outros métodos além do memdump, como por exemplo fazer o uso do próprio dd.

# dd if=/dev/mem of=/root/despejo_mem.dump

Tags: ,