Comment extraire la mémoire d'un appareil Linux (Android compris)

Si vous voulez faire un peu d’analyse mémoire sur des appareils qui tournent sous Linux ou basés sur Linux comme Android, je vous présente LiME.

LiME pour Linux Memory Extractor est un outil qui permet de réaliser des captures complètes de la mémoire (volatile) d’un autre appareil. Idéal si vous faites un peu de forensics.

L’acquisition se fait via l’interface réseau ou directement sur un support type carte SD et l’outil charge son module dans le noyau grâce à la commande insmod, ce qui permet ensuite de lui passer les paramètres qui vont bien pour l’extraction.

Voici un exemple qui explique comment charger le module dans le noyau du téléphone Android avec adb :

adb push lime.ko /sdcard/lime.ko adb forward tcp:4444 tcp:4444 adb shell su insmod /sdcard/lime.ko “path=tcp:4444 format=lime”

Puis une fois, en place, il suffit d’entrer la commande suivante pour effectuer une capture de la mémoire vive :

Et si vous voulez faire une copie de la mémoire sur une carte SD plutôt que via le réseau, chargez plutôt le module comme ceci :

insmod /sdcard/lime.ko “path=/sdcard/ram.lime format=lime”

Si vous voulez plus d’infos sur LiME, c’est sur Github que ça se passe.