Para realizar o dump de memória RAM de Linux ou Android podemos utilizar o LiME (Linux Memory Extractor).
Um Módulo de Kernel Carregável (LKM) que permite a aquisição de memória volátil de dispositivos baseados em Linux e Linux, como o Android. Isto torna o LiME único, pois é a primeira ferramenta que permite capturas de memória total em dispositivos Android. Ele também minimiza a interação entre os processos de espaço do usuário e do kernel durante a aquisição, o que permite produzir capturas de memória mais forenses do que as de outras ferramentas projetadas para a aquisição de memória do Linux.
Baixe no github o LiME para o computador/celular que você deseja capturar a memória com:
wget https://github.com/504ensicsLabs/LiME/archive/master.zip
Descompacte com:
unzip master.zip
Entre no Diretório com:
cd LiME-master/src/
Compile o LiME com:
make
Execute o seguinte comando:
insmod ./lime-4.15.0-1021-aws.ko path=ram.dump format=lime
Verifique o arquivo com:
ls -lah ram.dump
Ele deverá ter o tamanho exato da RAM da máquina alvo.
Para remover o módulo do LIME do Kernel use:
rmmod lime
