Как можно было бы создать дамп физической памяти (RAM) в Linux?
Какое программное обеспечение, если кто-либо доступен с этой целью?
Я считал, что не нужно писать в локальный диск, а скорее отправлять данные по сети. Кто-либо знает особенности здесь? Ethernet работал бы с этой целью или является там какими-либо командами, которые минимизируют объем кэширования прежде, чем отправить к диску?
WinHex в Windows имеет такую функциональность:
Я ищу что-то подобное на Linux.
Вот eHow страница на том, Как Вывести Память Linux
Linux обеспечивает два виртуальных устройства с этой целью,'
/dev/mem
'и'/dev/kmem
', хотя много дистрибутивов отключают их по умолчанию из соображений безопасности'./dev/mem
'связан с физической системной памятью, тогда как'/dev/kmem
'карты ко всему пространству виртуальной памяти, включая любую подкачку. Обе работы устройств как регулярные файлы, и могут использоваться с dd или любым другим инструментом управления файлом.
Это приводит к странице ForensicsWiki на Памяти Инструменты Обработки изображений с разделом Linux/Unix,
- dd В системах Unix, программа dd может использоваться для получения содержания физической памяти с помощью файла устройств (например,/dev/mem и/dev/kmem). В недавних ядрах Linux/dev/kmem больше не доступен. В еще более свежих ядрах/dev/mem имеет дополнительные ограничения. И в новом,/dev/mem больше не доступен по умолчанию, также. Всюду по 2,6 рядам ядра тенденция состояла в том, чтобы уменьшить прямой доступ к памяти через файлы псевдоустройства. См., например, сообщение, сопровождающее этот патч: http://lwn.net/Articles/267427/. В системах Red Hat (и полученные дистрибутивы, такие как CentOS), драйвер катастрофического отказа может быть загружен для создания псевдоустройства для доступа к памяти ("modprobe катастрофический отказ").
- Второй Взгляд Этот коммерческий продукт анализа памяти имеет способность получить память от систем Linux, или локально или от удаленной цели через DMA или по сети. Это идет с предварительно скомпилированными модулями Драйвера доступа физической памяти (PMAD) для сотен ядер от обычно используемых дистрибутивов Linux.
- Idetect (Linux)
- fmem (Linux)
fmem является модулем ядра, который создает устройство/dev/fmem, подобный/dev/mem, но без ограничений. Это устройство (физическая RAM) может быть скопировано с помощью dd или другой инструмент. Работы над 2.6 ядрами Linux. Под GNU GPL.- Золотая рыбка
Золотой рыбкой является Mac OS X живой судебный инструмент для использования только охраной правопорядка. Его основная цель состоит в том, чтобы обеспечить простой в использовании интерфейс для дампа системной RAM целевой машины через соединение Firewire. Это затем автоматически извлекает текущий пользовательский пароль входа в систему, и любой открывает фрагменты разговора AOL Instant Messenger, которые могут быть доступными. Охрана правопорядка может связаться с goldfish.ae для получения информации о загрузке.
См. также: Анализ памяти Linux.
Существует также GDB, обычно доступный на большинстве Linux.
И, Вам всегда рекомендуют постараться не переписывать неизвестную память - она может привести к системному повреждению.