当渗透测试人员从USB启动机器，scraper工具会自动复制内存镜像至USB设备。图2的屏幕截图显示了scraper工具在工作。

 

图2 Scraper工具

根据内存大小和USB端口速率，捕获过程需要一会儿，对大容量内存则需要数小时。Scraper程序完全复制内存后，它将立即重新启动系统。渗透测试人员只需移除USB设备并插回编译scraper的机器。在源码中有一个叫做USBdump的工具，它只是简单地使用如下命令：

sudo ./usbdump /dev/sdb >memdump.img

把USB设备上的每个字节拷贝至渗透测试人员的机器。再次，根据内存捕获镜像的大小，这可能需要数小时。最终结果是内存镜像的完全拷贝文件，包含目标机器的一个字节一个字节的捕获镜像，同时有望使错误最少。

火线接口攻击

电气和电子工程师协会的1394接口，是初始设计用于取代SCSI的一个高速通信接口，更因为苹果公司以火线命名实现而知名。火线的主要部分是它的高速数据传输速率，这也是它大量应用于音视频传输的原因。火线接口高速率的一个主要特征是，它可以完全绕过CPU，通过直接内存访问DMA的方式访问内存。这对从相机下载数小时连续镜头的视频编辑者来说是一个好消息，对于渗透测试人员同样如此。

火线接口的直接内存访问使具有目标机器物理接触能力的渗透测试人员，可以通过重写包含访问控制功能的内存部分，绕过操作系统的密码保护机制。DMA同样可以让渗透测试人员下载小于4GB内存镜像。即使火线接口仅能访问少于4GB的内存且能使用反病毒软件保护DMA，这类型的访问还是揭示了IEEE1394标准中重大的安全缺陷。由于火线接口的热插拔功能，即使目标机器在锁定情况下，攻击同样能够进行。此外，虽然大部分操作系统试图对知名火线接口设备如iPods进行DMA授权限制，但是欺骗设备很容易。

由于攻击主要针对火线接口，对同一总线下的任何设备同样有效;这些包括ExpressCard，PC Card和所有苹果新产品都可以使用的雷电端口。

Carsten Maartmann-Moe已经开发了一个叫做Inception的工具，可以轻松利用火线接口。该工具可在http://www.breaknenter.org/projects/inception/找到。Inception必须从一个Linux桌面运行。这种情况下，Linux系统不能是一个虚拟机，因为虚拟机不能实现火线接口传输(出于安全原因)。另外，渗透测试人员需要Python3和Freddie Witherden的1394包。最后，攻击和目标机器都需要具备一个火线接口，EC，雷电或者PC card接口。

Inception安装准备就绪后，渗透测试人员仅需通过一个火线接口电缆，简单的连接攻击和目标机器，并在root权限模式下运行命令

incept

Incept将会访问内存中负责访问控制的部分并“修补”它们，使我们可以无密码访问机器。当然，目标机器内存含有丰富的信息，渗透测试人员可以使用

incept –d

命令转储小于4GB的内存镜像。

(责任编辑：安博涛)