物理メモリを丸裸に!コールドブート攻撃実験用ツール「BareMetal RAM Dumper」
BareMetal RAM Dumper – Bare-metal x86 tool for Cold Boot Attack experiments
BareMetal RAM Dumper – Bare-metal x86 tool for Cold Boot Attack experiments
「BareMetal RAM Dumper」は、x86環境のベアメタル上で動作する、コールドブート攻撃(Cold Boot Attack)実験のためのツールです。OSを介さずにメモリのダンプを取得したいエンジニアにとって、検証環境を構築する強力な一助となるでしょう。
セキュリティリサーチャーのみんな、お疲れ!BareMetal-RAM-Dumperをリリースしたよ。これはコールドブート攻撃の研究向けに、物理RAMを直接ディスクにダンプする低レイヤーのx86ユーティリティだ。できることは以下の通り。・512バイトのカスタムブートローダー(OS不要)・BIOS Legacy CSMでブート・Unreal Modeに切り替えて32bit物理メモリにアクセス・USBドライブへ32KB単位でRAMを直接ダンプ・BIOS INT 0x15 E820で安全にメモリマップを解析・リアルタイムの進捗表示。コールドブート攻撃のユースケースとしては、ノートPCのRAMをマイナス60度まで冷やして即座にUSBから再起動すれば、フォレンジック分析や暗号鍵の復元用にメモリの中身を丸ごとキャプチャできる。仕組みは、Stage1のブートセクタがINT 0x13でStage2をロードし、Stage2がメモリ検出やディスク書き込みを行う。注意点として、ブートドライブの64セクタ目以降を上書きするから、必ず空のUSBを使ってくれ。すべてNASMのアセンブリ言語で書いていて、無駄な処理は一切なし。GitHubはこちら: https://github.com/pIat0n/BareMetal-RAM-Dumper ライセンスはAGPL-3.0。フォレンジックやセキュリティ監査、低レイヤーの学習に役立てて。フィードバックや改善案は大歓迎!
正常にテスト済み
ここについて詳しく教えて。どんなデバイスでテストして、どんな手順で行ったのか、そして結果はどうだったの?
最初にEFIが走るのを止める仕組みなの?EFIが動くとRAMの多くを上書きしちゃいそうだけど。
DevToolのエコシステムについて。
この攻撃を防ぐためのコツやガイドってある?もちろんデバイスを放置しないのが一番だけど、ノートPCが盗まれた時に他にできることは?ワークステーションなら侵入検知スイッチでシャットダウンできるけど、ノートPCだとどうかな。RAMをホットグルーで固定するのは物理的な対策になりそう。BIOSパスワードで外部メディアからのブートを禁止したり、セキュアブートを有効にするのはどうだろう。バイパスする手法はあるけど、再起動するまでそれが立ちはだかると知らなければ、攻撃者の時間を稼ぐくらいにはなるはず。もしRAMがキーボードの下にあるなら、すぐに抜き取るのは難しいだろうね。あと、RAMに直接スプレーする以外に、ノートPCを起動したまま全体を凍らせることはできるの?結露で速攻壊れそうだけど。
批判的な人たち、liffikのコメントをフラグ立てするのはやめてくれ。AIが嫌いなのは分かるけど、このスレッドは正当に投票されてフロントページに上がったんだから、少なくとも著者が質問に回答するくらいはさせてやろうよ。
ネジロック剤(赤)でチェックメイトだな…笑 =3