Jak mogę zrzucić całą pamięć fizyczną do pliku?

Używam Ubuntu 11.10 i chcę po prostu wiedzieć, czy mogę zrzucić całą pamięć fizyczną i wymienić, ponieważ ze względu na pewne ograniczenia jądra nie mogę dd /dev/mem, nawet jako superużytkownik.

Czy istnieje obejście lub opcja, aby umożliwić dd„ing /dev/memlub dedykowane narzędzie wykonane prawidłowo to zrobić?

Użyj fmem

Kiedyś byłeś w stanie po prostu dd /dev/memwrócić z powrotem, ale już nie ze względów bezpieczeństwa (od jądra 2.6, IIRC).

Alternatywą jest albo zbudowanie jądra z opcją, aby root mógł to zrobić (będzie później edytować nazwę z nazwiskiem, teraz na telefonie) LUB lepiej, użyj fmem , modułu jądra, który tworzy /dev/fmemurządzenie przeznaczone do łatwego zrzutu .

fmem działa świetnie dla mnie 12.04. Upewnij się, że używasz run.shpliku zawartego w archiwum, aby załadować moduł; nie używaj insmod:

$ ./run.sh
...
---- Obszary pamięci: -----
reg00: baza = 0x000000000 (0 MB), rozmiar = 1024 MB, liczba = 1: zapisywanie z powrotem
reg01: baza = 0x0c8800000 (3208 MB), rozmiar = 2 MB, liczba = 1: łączenie zapisu
-----------------------
!!! Nie zapomnij dodać „count =” do dd !!!


$ ls / dev / f *
/ dev / fb0 / dev / fd0 / dev / fmem / dev / full / dev / fuse


$ sudo dd if = / dev / fmem of = / tmp / fmem_dump.dd bs = 1 MB liczba = 10
10 + 0 rekordów w
10 + 0 zapisów
10000000 bajtów (10 MB) skopiowanych, 0,0331212 s, 302 MB / s

Prawdopodobnie nie możesz ddsobie pozwolić na pamięć w nowoczesnych jądrach, ponieważ ograniczają one bezpośredni dostęp, który jest wykorzystywany głównie do podejrzanych rzeczy . W kryminalistyki wiki linki kilka narzędzi , które mogą być interesujące, ale nie ma nic, że naprawdę zostały zaktualizowane w ciągu ostatnich kilku lat. LiME wydaje się być zaktualizowany, chociaż jeszcze go nie testowałem.