Дамп памяти процесса Linux в файл

Можно ли записать текущую память, выделенную для процесса (с помощью PID) в файл? Или читать это как-то?

Я не уверен, как вы выгружаете всю память в файл, не делая этого многократно (если кто-то знает автоматический способ заставить GDB сделать это, пожалуйста, дайте мне знать), но следующее работает для любой партии памяти, если вы знаете, пид:

$ cat /proc/[pid]/maps

Это будет в формате (пример):

00400000-00421000 r-xp 00000000 08:01 592398                             /usr/libexec/dovecot/pop3-login
00621000-00622000 rw-p 00021000 08:01 592398                             /usr/libexec/dovecot/pop3-login
00622000-0066a000 rw-p 00622000 00:00 0                                  [heap]
3e73200000-3e7321c000 r-xp 00000000 08:01 229378                         /lib64/ld-2.5.so
3e7341b000-3e7341c000 r--p 0001b000 08:01 229378                         /lib64/ld-2.5.so

Выберите одну порцию памяти (например, 00621000-00622000), затем используйте gdb в качестве пользователя root для подключения к процессу и выведите эту память:

$ gdb --pid [pid]
(gdb) dump memory /root/output 0x00621000 0x00622000

Затем проанализируйте / root / output с помощью команды strings, но вы не хотите использовать PuTTY по всему экрану.

Я сделал скрипт, который выполняет эту задачу.

Идея взята из ответа Джеймса Лори и этого поста: http://www.linuxforums.org/forum/programming-scripting/52375-reading-memory-other-processes.html#post287195

#!/bin/bash

grep rw-p /proc/$1/maps \
| sed -n 's/^\([0-9a-f]*\)-\([0-9a-f]*\) .*$/\1 \2/p' \
| while read start stop; do \
    gdb --batch --pid $1 -ex \
        "dump memory $1-$start-$stop.dump 0x$start 0x$stop"; \
done

поместите это в файл (например, "dump-all-memory-of-pid.sh") и сделайте его исполняемым

использование: ./dump-all-memory-of-pid.sh [pid]

Вывод распечатывается в файлы с именами: pid-startaddress-stopaddress.dump

зависимости: gdb

пытаться

    gcore $pid

где $pidактуальный номер пид; для получения дополнительной информации см .:info gcore

для создания дампа может потребоваться некоторое время, и некоторая память может быть не читаемой, но достаточно хорошей ... имейте в виду, что она может создавать большие файлы, я только что создал файл 2 ГБ таким образом ...

man proc говорит:

/ proc / [pid] / mem Этот файл может использоваться для доступа к страницам памяти процесса через open (2), read (2) и lseek (2).

Может быть, это может помочь вам

Я также создал свою собственную программу для выгрузки всей памяти процесса, она находится на C, чтобы ее можно было кросс-компилировать для Android, что мне и было нужно.

Вы также можете указать IP-адрес и порт TCP. Исходный код здесь .

Чистое решение Bash:

procdump () 
{ 
    cat /proc/$1/maps | grep "rw-p" | awk '{print $1}' | ( IFS="-"
    while read a b; do
        count=$(( bd-ad ))
        ad=$(printf "%llu" "0x$a")
        bd=$(printf "%llu" "0x$b")
        dd if=/proc/$1/mem bs=1 skip=$ad count=$count of=$1_mem_$a.bin
    done )
}

Использование: procdump PID

для более чистой свалки:

procdump () 
{ 
    cat /proc/$1/maps | grep -Fv ".so" | grep " 0 " | awk '{print $1}' | ( IFS="-"
    while read a b; do
        ad=$(printf "%llu" "0x$a")
        bd=$(printf "%llu" "0x$b")
        dd if=/proc/$1/mem bs=1 skip=$ad count=$(( bd-ad )) of=$1_mem_$a.bin
    done )
}

Инструмент для вывода процесса на стандартный вывод, pcat / memdump:

• http://manpages.ubuntu.com/manpages/gutsy/man1/pcat.1.html
• http://www.porcupine.org/forensics/tct.html

Теперь вы можете использовать procdump из пакета SysInternals в Linux:

https://github.com/Microsoft/ProcDump-for-Linux

Если вы хотите сбросить отдельный сегмент памяти запущенного процесса без создания огромного файла ядра (скажем, с помощью gcore), вы можете использовать небольшой инструмент здесь . В README также есть однострочная строка, если вы хотите сбросить все читаемые сегменты в отдельные файлы.