Estoy tratando de analizar volcados de memoria de procesos específicos en MacOS. Estoy utilizando los siguientes comandos:
lldb --attach-pid 1041
process save-core "core"Y el tamaño del archivo core es de 3.3 GB. Con el mismo proceso de aplicación en Windows tengo 150 MB y en Linux 600 MB. Hace que sea difícil analizarlo con ese tamaño.
¿Cuáles son las herramientas confiables para analizar volcados de memoria en MacOS, en lo que respecta a buscar datos sensibles?
La razón por la que el volcado de memoria es tan grande es que la aplicación ha asignado tanta memoria. Es posible que en realidad no la esté "usando", pero podría estar asignada de la forma de archivos mapeados en memoria, o simplemente ser "en blanco" (no utilizada).
En cuanto a las herramientas para analizar volcados de memoria, depende completamente de lo que estés buscando y si conoces o no las estructuras de datos internas de la aplicación que estás analizando.
Si se trata de una aplicación de terceros de la que no tienes el código fuente y estás buscando datos sensibles en forma de texto, te recomendaría ejecutar el volcado de memoria a través del programa strings:
strings coreUna idea podría ser guardar este resultado intermedio y utilizarlo para búsquedas posteriores:
strings core > text
grep cadena_de_busqueda textSi deseas contar con una herramienta que realmente comprenda el contenido del volcado de memoria (por ejemplo, para diferenciar entre diferentes tipos de asignaciones de memoria), puedes utilizar Rekall. Ten en cuenta que desafortunadamente ya no se mantiene para macOS.
Existe una excelente utilidad (aunque está retirada, aún funciona): https://github.com/google/rekall/tree/master/tools/osx/MacPmem
MacPmem permite acceso de lectura/escritura a la memoria física. Simultáneamente expone una gran cantidad de información útil sobre el sistema operativo y hardware en el que se ejecuta a través de un dispositivo informativo e interfaz sysctl.
Expone dos dispositivos:
/dev/pmem # Acceso de lectura a la memoria física (se puede compilar con soporte de escritura).
/dev/pmem_info # Volcado informativo.
AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.
1 votos
Tenías dos preguntas allí, las edité a una ("¿Por qué" las preguntas no funcionan muy bien, además parece ser un tema secundario). ¿Qué has investigado hasta ahora en términos de herramientas? ¿Qué utilizas en Linux?
0 votos
He utilizado
xxdygrepen MacOS. Sin embargo, estoy pensando si hay alguna manera de mejorar el rendimiento de la búsqueda en archivos binarios tan grandes. También he utilizado Xcode y tiene problemas con la búsqueda del número exacto de resultados de una cadena específica.0 votos
¿Cómo limita el tamaño tu análisis? ¿Estás desplazándote por él página por página en un editor? Dado que ya tienes una buena respuesta, quizás una pregunta de seguimiento podría funcionar mejor si aún necesitas ayuda.