Как создать дамп физической памяти (ОЗУ) в Linux?
Какое программное обеспечение, если таковое имеется, доступно для этой цели?
Я читал, что не следует писать на локальный диск, а отправлять данные по сети. Кто-нибудь знает особенности здесь? Будет ли Ethernet работать для этой цели, или есть какие-либо команды, которые минимизируют объем кэширования перед отправкой на диск?
WinHex на Windows имеет такую функциональность:
Я ищу что-то похожее на Linux.
Вот страница eHow о том, как сделать дамп памяти Linux
Linux предоставляет два виртуальных устройства для этой цели, '
/dev/mem' и '/dev/kmem', хотя многие дистрибутивы по умолчанию отключают их по соображениям безопасности. '/dev/mem' связан с физической системной памятью, тогда как '/dev/kmem' отображается на все пространство виртуальной памяти, включая любой обмен. Оба устройства работают как обычные файлы и могут использоваться с dd или любым другим инструментом для работы с файлами.
Это приводит к появлению страницы ForensicsWiki, посвященной средствам визуализации памяти с разделом Linux / Unix ,
- dd В системах Unix программа dd может использоваться для захвата содержимого физической памяти с использованием файла устройства (например, / dev / mem и / dev / kmem). В последних ядрах Linux / dev / kmem больше не доступен. В еще более новых ядрах / dev / mem есть дополнительные ограничения. И в самой последней версии / dev / mem больше не доступен по умолчанию. На протяжении серии ядра 2.6 была тенденция к сокращению прямого доступа к памяти через файлы псевдоустройств. См., Например, сообщение, сопровождающее этот патч: http://lwn.net/Articles/267427/ . В системах Red Hat (и производных дистрибутивах, таких как CentOS), драйвер сбоя может быть загружен для создания псевдо-устройства для доступа к памяти («modprobe crash»).
- Второй взгляд Этот коммерческий продукт для анализа памяти имеет возможность извлекать память из систем Linux, либо локально, либо с удаленной цели через DMA или по сети. Он поставляется с предварительно скомпилированными модулями драйвера физической памяти (PMAD) для сотен ядер из наиболее часто используемых дистрибутивов Linux.
- Idetect (Linux)
- fmem (Linux)
fmem - модуль ядра, который создает устройство / dev / fmem, похожее на / dev / mem, но без ограничений. Это устройство (физическое ОЗУ) можно скопировать с помощью dd или другого инструмента. Работает на ядрах Linux 2.6. Под GNU GPL.- Золотая
рыбка Золотая рыбка - это инструмент для судебной экспертизы Mac OS X, который используется только правоохранительными органами. Его основная цель - предоставить простой в использовании интерфейс для выгрузки оперативной памяти системы целевого компьютера через соединение Firewire. Затем он автоматически извлекает пароль для входа текущего пользователя и любые открытые фрагменты диалога AOL Instant Messenger, которые могут быть доступны. Правоохранительные органы могут связаться с goldfish.ae для загрузки информации.
Смотрите также: Анализ памяти Linux .
Существует также GDB, обычно доступный в большинстве Linux.
Кроме того, вам всегда рекомендуется избегать записи поверх неизвестной памяти - это может привести к повреждению системы.
Волатильность, кажется, работает хорошо и совместима с Windows и Linux.
С их сайта:
источник
Second Look - это хороший и простой способ выгрузить память в Linux: http://secondlookforensics.com/ .
Также есть недавно выпущенный модуль ядра, который вы можете попробовать под названием LiME: http://code.google.com/p/lime-forensics/
источник
В качестве подтверждения я смог сбросить память моей виртуальной машины CentOS 7.x следующим образом:
Учитывая, что 55aah происходит в диапазоне c0000h-effffh, вероятно, это заголовок расширения PNP:
Справка: спецификация загрузки BIOSСсылки
источник