60 lines
1.8 KiB
Markdown
60 lines
1.8 KiB
Markdown
# YACBA - Быстрый старт
|
||
|
||
## Что это?
|
||
Автономная флешка с собственной ОС для cold-boot атак.
|
||
Вставил флешку → перезагрузился → система дампит память.
|
||
|
||
## Сборка
|
||
|
||
**macOS/Windows (Docker):**
|
||
```bash
|
||
./docker-build.sh
|
||
```
|
||
|
||
**Linux:**
|
||
```bash
|
||
./build.sh
|
||
```
|
||
|
||
## Создание флешки
|
||
|
||
```bash
|
||
sudo ./create_boot_usb.sh /dev/sdX # замените X на вашу флешку
|
||
```
|
||
|
||
## Использование
|
||
|
||
1. Выключить целевую систему (выдернуть питание)
|
||
2. Вставить флешку
|
||
3. Включить систему
|
||
4. Флешка загрузится и начнет дамп автоматически
|
||
5. Дождаться завершения (прогресс на экране)
|
||
|
||
## Что дампится
|
||
|
||
- Память с адресов 1MB, 16MB, 256MB
|
||
- Поиск паттернов: пароли, логины, ключи
|
||
- Данные сохраняются в RAW формате на втором разделе
|
||
- Заголовок с сигнатурой "YACBA" + размер дампа
|
||
|
||
## Извлечение дампа
|
||
|
||
После использования:
|
||
```bash
|
||
# Автоматическое извлечение и анализ
|
||
sudo ./extract_dump.sh /dev/sdX
|
||
|
||
# Или ручное извлечение
|
||
sudo dd if=/dev/sdX2 of=memdump.bin bs=512 skip=1
|
||
|
||
# Проверка заголовка
|
||
hexdump -C /dev/sdX2 | head -2
|
||
# 00000000 59 41 43 42 41 01 00 00 00 10 00 00 00 04 00 00
|
||
# Y A C B A v1 size=4KB sectors=4
|
||
|
||
# Анализ
|
||
strings memdump.bin | grep -i password
|
||
hexdump -C memdump.bin | less
|
||
```
|
||
|
||
⚠️ **Только для образования и своих систем!** |