Jak stworzyć zrzut pamięci fizycznej (RAM) w systemie Linux?
Jakie oprogramowanie jest dostępne do tego celu?
Przeczytałem, że nie należy zapisywać na dysk lokalny, a raczej wysyłać dane przez sieć. Czy ktoś tu zna osobliwości? Czy Ethernet działałby w tym celu, czy też są jakieś polecenia, które minimalizują ilość buforowania przed wysłaniem na dysk?
WinHex na Windows ma taką funkcjonalność:
Szukam czegoś podobnego w systemie Linux.
Oto strona eHow na temat usuwania pamięci systemu Linux
Linux udostępnia w tym celu dwa urządzenia wirtualne „
/dev/mem” i „/dev/kmem”, chociaż wiele dystrybucji domyślnie je wyłącza ze względów bezpieczeństwa. „/dev/mem” jest powiązany z fizyczną pamięcią systemową, podczas gdy „/dev/kmem” odwzorowuje na całą przestrzeń pamięci wirtualnej, w tym na dowolną wymianę. Oba urządzenia działają jak zwykłe pliki i mogą być używane z dd lub dowolnym innym narzędziem do manipulacji plikami.
To prowadzi do strony ForensicsWiki na temat narzędzi do tworzenia obrazów pamięci z sekcją Linux / Unix ,
- dd W systemach Unix program dd może być używany do przechwytywania zawartości pamięci fizycznej za pomocą pliku urządzenia (np. / dev / mem i / dev / kmem). W najnowszych jądrach Linuksa / dev / kmem nie jest już dostępny. W jeszcze nowszych jądrach / dev / mem ma dodatkowe ograniczenia. W najnowszej wersji / dev / mem nie jest już domyślnie dostępny. W całej serii jądra 2.6 trendem było zmniejszanie bezpośredniego dostępu do pamięci za pomocą plików pseudo-urządzeń. Zobacz na przykład komunikat towarzyszący tej łatce: http://lwn.net/Articles/267427/ . W systemach Red Hat (i pochodnych dystrybucjach, takich jak CentOS), sterownik awarii można załadować, aby utworzyć pseudo-urządzenie do dostępu do pamięci („awaria modprobe”).
- Drugie spojrzenie Ten komercyjny produkt do analizy pamięci ma możliwość pozyskiwania pamięci z systemów Linux, lokalnie lub ze zdalnego obiektu docelowego przez DMA lub przez sieć. Zawiera wstępnie skompilowane moduły sterownika dostępu do pamięci fizycznej (PMAD) dla setek jąder z najczęściej używanych dystrybucji Linuksa.
- Idetect (Linux)
- fmem (Linux)
fmem to moduł jądra, który tworzy urządzenie / dev / fmem, podobne do / dev / mem, ale bez ograniczeń. To urządzenie (fizyczna pamięć RAM) można skopiować za pomocą dd lub innego narzędzia. Działa na jądrach Linuksa 2.6. Zgodnie z GNU GPL.- Goldfish
Goldfish to narzędzie kryminalistyczne na żywo dla systemu Mac OS X do użytku wyłącznie przez organy ścigania. Jego głównym celem jest zapewnienie łatwego w użyciu interfejsu do zrzucania pamięci RAM systemu komputera docelowego za pośrednictwem połączenia Firewire. Następnie automatycznie wyodrębnia bieżące hasło logowania użytkownika i wszelkie otwarte fragmenty konwersacji AOL Instant Messenger, które mogą być dostępne. Organy ścigania mogą skontaktować się z goldfish.ae w celu pobrania informacji.
Zobacz też: Analiza pamięci systemu Linux .
Istnieje również GDB powszechnie dostępny na większości Linuksów.
I zawsze zaleca się unikanie zapisywania nieznanej pamięci - może to prowadzić do uszkodzenia systemu.
Wydaje się, że zmienność działa dobrze i jest kompatybilna z systemami Windows i Linux.
Z ich strony internetowej:
źródło
Second Look to dobry, łatwy sposób na zrzut pamięci w systemie Linux: http://secondlookforensics.com/ .
Istnieje również niedawno wydany moduł jądra, który możesz wypróbować o nazwie LiME: http://code.google.com/p/lime-forensics/
źródło
Jako potwierdzenie mogłem zrzucić pamięć mojej maszyny Wirtualnej CentOS 7.x przy użyciu tej metody:
Biorąc pod uwagę, że 55aah występuje w zakresie c0000h-effffh, prawdopodobnie nagłówek rozszerzenia PNP:
Odniesienie: specyfikacja rozruchu systemu BIOSReferencje
źródło