लिनक्स में भौतिक मेमोरी (RAM) का डंप कैसे बनेगा?
यदि कोई सॉफ्टवेयर इस उद्देश्य के लिए उपलब्ध है तो क्या होगा?
मैंने पढ़ा है कि किसी को स्थानीय डिस्क पर नहीं लिखना चाहिए, बल्कि नेटवर्क पर डेटा भेजना चाहिए। किसी को भी peculiarities यहाँ पता है? क्या ईथरनेट इस उद्देश्य के लिए काम करेगा, या क्या कोई आदेश हैं जो डिस्क पर भेजने से पहले कैशिंग की मात्रा को कम करते हैं?
WinHex विंडोज पर इस तरह के कार्यक्षमता है:
मैं लिनक्स पर कुछ इसी तरह के लिए देख रहा हूँ।
जवाबों:
यहाँ कैसे लिनक्स मेमोरी डंप करने के लिए एक eHow पृष्ठ है
लिनक्स इस उद्देश्य के लिए दो आभासी उपकरण प्रदान करता है, '
/dev/mem' और '/dev/kmem', हालांकि कई वितरण सुरक्षा कारणों से उन्हें डिफ़ॉल्ट रूप से अक्षम कर देते हैं। '/dev/mem' भौतिक प्रणाली मेमोरी से जुड़ा हुआ है, जबकि '/dev/kmem' किसी भी स्वैप सहित पूरे वर्चुअल मेमोरी स्पेस में मैप करता है। दोनों डिवाइस नियमित फ़ाइलों के रूप में काम करते हैं, और इसका उपयोग dd या किसी अन्य फ़ाइल हेरफेर उपकरण के साथ किया जा सकता है।
यह लिनक्स / यूनिक्स अनुभाग के साथ मेमोरी इमेजिंग टूल पर फॉरेंसिकविकी पेज की ओर जाता है ,
- यूनिक्स सिस्टम पर dd , प्रोग्राम dd का उपयोग भौतिक मेमोरी की सामग्री को एक डिवाइस फ़ाइल (जैसे / dev / मेम / और / dev / kmem) का उपयोग करने के लिए किया जा सकता है। हाल के लिनक्स कर्नेल में, / dev / kmem अब उपलब्ध नहीं है। और भी हाल की गुठली में, / देव / मेम के पास अतिरिक्त प्रतिबंध हैं। और सबसे हाल ही में, / देव / मेम डिफ़ॉल्ट रूप से उपलब्ध नहीं है। 2.6 कर्नेल श्रृंखला के दौरान छद्म डिवाइस फ़ाइलों के माध्यम से मेमोरी तक सीधे पहुंच को कम करने का चलन रहा है। : उदाहरण के लिए देखें, संदेश इस पैच के साथ http://lwn.net/Articles/267427/ । Red Hat सिस्टम (और CentOS जैसे व्युत्पन्न डिस्ट्रोस) पर, क्रैश ड्राइवर को मेमोरी एक्सेस ("modprobe क्रैश") के लिए एक छद्म उपकरण बनाने के लिए लोड किया जा सकता है।
- दूसरा देखो इस वाणिज्यिक स्मृति विश्लेषण उत्पाद, या तो स्थानीय या डीएमए के माध्यम से या नेटवर्क पर एक दूरस्थ लक्ष्य से Linux सिस्टम से प्राप्त स्मृति की क्षमता है। इसके साथ सैकड़ों सबसे अधिक इस्तेमाल किया लिनक्स वितरण से कर्नेल के लिए पूर्व संकलित शारीरिक मेमोरी पहुँच ड्राइवर (PMAD) मॉड्यूल आता है।
- Idetect (लिनक्स)
- fmem (लिनक्स)
fmem कर्नेल मॉड्यूल है, तो उस डिवाइस बनाता है / dev / fmem, समान करने के लिए / dev / mem लेकिन सीमाओं के बिना। इस डिवाइस (फिजिकल रैम) को dd या अन्य टूल का उपयोग करके कॉपी किया जा सकता है। 2.6 लिनक्स कर्नेल पर काम करता है। जीएनयू जीपीएल के तहत।- सुनहरीमछली
सुनहरीमछली केवल कानून प्रवर्तन द्वारा उपयोग के लिए एक मैक ओएस एक्स लाइव फोरेंसिक उपकरण है। इसका मुख्य उद्देश्य फायरवायर कनेक्शन के माध्यम से एक लक्ष्य मशीन के सिस्टम रैम को डंप करने के लिए इंटरफ़ेस का उपयोग करने के लिए एक आसान प्रदान करना है। यह तब स्वचालित रूप से वर्तमान उपयोगकर्ता लॉगिन पासवर्ड और उपलब्ध होने वाले किसी भी खुले एओएल इंस्टेंट मैसेंजर वार्तालाप टुकड़े को निकालता है। कानून प्रवर्तन डाउनलोड जानकारी के लिए सुनहरी मछली से संपर्क कर सकते हैं।
यह भी देखें: लिनक्स मेमोरी विश्लेषण । आमतौर पर अधिकांश लिनक्स पर GDB
भी उपलब्ध है।
और, आपको हमेशा अज्ञात मेमोरी पर लिखने से बचने की सलाह दी जाती है - इससे सिस्टम में भ्रष्टाचार हो सकता है।
अस्थिरता अच्छी तरह से काम कर रही है और विंडोज और लिनक्स संगत है।
उनकी वेबसाइट से:
अस्थिरता सभी प्रमुख 32- और 64-बिट विंडोज संस्करणों और सर्विस पैक में XP, 2003 सर्वर, विस्टा, सर्वर 2008, सर्वर 2008 आर 2, और सेवन से मेमोरी डंप का समर्थन करती है। चाहे आपकी मेमोरी डंप कच्चे प्रारूप में हो, एक Microsoft क्रैश डंप, हाइबरनेशन फ़ाइल, या वर्चुअल मशीन स्नैपशॉट, अस्थिरता इसके साथ काम करने में सक्षम है। हम अब कच्चे या LiME प्रारूप में लिनक्स मेमोरी डंप का भी समर्थन करते हैं और इसमें 32+ का विश्लेषण करने के लिए 35+ प्लगइन्स शामिल हैं और 2.6.11 - 3.5.x से 64-बिट लिनक्स कर्नेल और डेबियन, उबंटू, ओपनस्यूएसई, फेडोरा, सेंटोस जैसे वितरण और विषैला पौधा। हम मैक ओएसएक्स मेमोरी डंप के 38 संस्करणों का समर्थन करते हैं 10.5 से 10.8.3 तक माउंटेन लायन, 32- और 64-बिट दोनों। एआरएम प्रोसेसर के साथ एंड्रॉयड फोन भी समर्थित हैं।
: दूसरा देखो एक अच्छा, लिनक्स में डंप स्मृति करने के लिए आसान तरीका है http://secondlookforensics.com/ ।
वहाँ भी एक हाल ही में जारी कर्नेल मॉड्यूल आपको चूना कहा जाता है की कोशिश कर सकते है: http://code.google.com/p/lime-forensics/
पुष्टि के रूप में मैं इस पद्धति का उपयोग वीएम की स्मृति 7.x मेरे CentOS डंप करने में सक्षम था:
$ head /dev/mem | hexdump -C
00000000 53 ff 00 f0 53 ff 00 f0 53 ff 00 f0 53 ff 00 f0 |S...S...S...S...|
00000010 53 ff 00 f0 53 ff 00 f0 cc e9 00 f0 53 ff 00 f0 |S...S.......S...|
00000020 a5 fe 00 f0 87 e9 00 f0 53 ff 00 f0 46 e7 00 f0 |........S...F...|
00000030 46 e7 00 f0 46 e7 00 f0 57 ef 00 f0 53 ff 00 f0 |F...F...W...S...|
00000040 22 00 00 c0 4d f8 00 f0 41 f8 00 f0 fe e3 00 f0 |"...M...A.......|
00000050 39 e7 00 f0 59 f8 00 f0 2e e8 00 f0 d4 ef 00 f0 |9...Y...........|
00000060 a4 f0 00 f0 f2 e6 00 f0 6e fe 00 f0 53 ff 00 f0 |........n...S...|
00000070 ed ef 00 f0 53 ff 00 f0 c7 ef 00 f0 ed 57 00 c0 |....S........W..|
00000080 53 ff 00 f0 53 ff 00 f0 53 ff 00 f0 53 ff 00 f0 |S...S...S...S...|
*
00000100 59 ec 00 f0 3d 00 c0 9f 53 ff 00 f0 ed 69 00 c0 |Y...=...S....i..|
00000110 53 ff 00 f0 53 ff 00 f0 53 ff 00 f0 53 ff 00 f0 |S...S...S...S...|
*
00000180 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
000afea0 00 00 00 00 00 00 00 00 aa aa aa 00 aa aa aa 00 |................|
000afeb0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
...
...
000b0000 ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff |................|
*
000c0000 55 aa 40 e9 62 0a 00 00 00 00 00 00 00 00 00 00 |U.@.b...........|
000c0010 00 00 00 00 00 00 00 00 00 00 00 00 00 00 49 42 |..............IB|
000c0020 4d 00 9c 80 fc 0f 75 06 e8 4f 01 e9 bc 00 80 fc |M.....u..O......|
इस 55aah c0000h-effffh रेंज यह संभावना PNP विस्तार हैडर है में होने वाली यह देखते हुए:
संदर्भ: BIOS बूट विशिष्टताPnP विस्तार हेडर के साथ 3.3 डिवाइस
विकल्प रोम वाले सभी आईपीएल उपकरणों में एक वैध विकल्प ROM हैडर होना चाहिए जो कि सिस्टम मेमोरी एड्रेस C0000h और EFFFFh के बीच 2k सीमा पर रहता है और 55AAh से शुरू होता है। एक डिवाइस के बूटिंग को केवल तभी नियंत्रित किया जा सकता है जब उसमें PnP एक्सपेंशन हैडर हो। विस्तार हैडर जिसका पता बसता था भरपाई + 1AH पर मानक विकल्प ROM हैडर के भीतर, उपकरण कॉन्फ़िगर करने के लिए इस्तेमाल महत्वपूर्ण जानकारी शामिल है। यह भी डिवाइस के विकल्प ROM (BCV या BEV) कि BIOS डिवाइस से बूट करने के लिए फोन करेगा में कोड की ओर इशारा होता है। PnP विस्तार हैडर की संरचना के लिए परिशिष्ट A देखें। PnP Expansion Header के साथ IPL डिवाइस को बूट करने के दो तरीके हो सकते हैं। इसमें BCV या BEV होना चाहिए।