1.8 KiB
1.8 KiB
YACBA - Быстрый старт
Что это?
Автономная флешка с собственной ОС для cold-boot атак. Вставил флешку → перезагрузился → система дампит память.
Сборка
macOS/Windows (Docker):
./docker-build.sh
Linux:
./build.sh
Создание флешки
sudo ./create_boot_usb.sh /dev/sdX # замените X на вашу флешку
Использование
- Выключить целевую систему (выдернуть питание)
- Вставить флешку
- Включить систему
- Флешка загрузится и начнет дамп автоматически
- Дождаться завершения (прогресс на экране)
Что дампится
- Память с адресов 1MB, 16MB, 256MB
- Поиск паттернов: пароли, логины, ключи
- Данные сохраняются в RAW формате на втором разделе
- Заголовок с сигнатурой "YACBA" + размер дампа
Извлечение дампа
После использования:
# Автоматическое извлечение и анализ
sudo ./extract_dump.sh /dev/sdX
# Или ручное извлечение
sudo dd if=/dev/sdX2 of=memdump.bin bs=512 skip=1
# Проверка заголовка
hexdump -C /dev/sdX2 | head -2
# 00000000 59 41 43 42 41 01 00 00 00 10 00 00 00 04 00 00
# Y A C B A v1 size=4KB sectors=4
# Анализ
strings memdump.bin | grep -i password
hexdump -C memdump.bin | less
⚠️ Только для образования и своих систем!