Herramientas forense para ser un buen CSI. Parte XXXVII: Lime

Buenas a todos, en el post de hoy de herramientas forense para ser un buen CSI me gustaría hablaros de la herramienta Lime.
Lime es una utilidad para entornos Linux y Android, bastante utilizada en el mundo del forense y que os permitirá realizar un volcado de la memoria RAM.
Soporta hasta 3 formatos diferentes (lime, raw y padded) y nos permitirá tanto realizar el volcado en el propio equipo como enviarlo por red (con Ncat en el otro lado escuchando por ejemplo).
Un detalle importante es que se compila en el sistema con el mismo kernel y se genera un módulo (.ko). Para dumpear la RAM deberemos cargar dicho módulo con extensión .Ko.
Para volcar la RAM en el fichero /tmp/ram.raw (formato raw) debemos hacer uso de la siguiente instrucción:

insmod /tmp/lime.ko “path=/tmp/ram.raw  format=raw”

Y para volcar la RAM y enviarla por red:
  • En la máquina a volcar la RAM:

insmod /tmp/lime.ko “path=tcp:4444 format=raw”

  • En el PC donde se recogerá la copia usaremos ncat:

C:\Users\jcallesg>ncat 192.168.1.10 4444 >ram.raw

¿Sencillo no? Ahora vamos a ver desde 0 los pasos para compilarla y realizar el volcado:

1.- Hacemos uso del comando "make" sobre la carpeta donde se encuentran los archivos para compilarla:

2.- En mi caso concreto me daba algunos problemas al utilizar el nombre con el que crea el módulo por defecto, por lo que me hice una copia con otro nombre (el mismo que indica el desarrollador en el manual oficial "lime.ko"):

3.- Cargamos el módulo "lime.ko" para realizar el volcado de la RAM en formato raw:

4.- Tras unos segundos ya tendremos la RAM volcada y lista para analizarla con Volatility o con vuestra herramienta preferida:

Eso es todo por hoy, pero que os haya gustado :)

Saludos!