मैं लिनक्स में भौतिक मेमोरी कैसे डंप करता हूं?


22

लिनक्स में भौतिक मेमोरी (RAM) का डंप कैसे बनेगा?

यदि कोई सॉफ्टवेयर इस उद्देश्य के लिए उपलब्ध है तो क्या होगा?

मैंने पढ़ा है कि किसी को स्थानीय डिस्क पर नहीं लिखना चाहिए, बल्कि नेटवर्क पर डेटा भेजना चाहिए। किसी को भी peculiarities यहाँ पता है? क्या ईथरनेट इस उद्देश्य के लिए काम करेगा, या क्या कोई आदेश हैं जो डिस्क पर भेजने से पहले कैशिंग की मात्रा को कम करते हैं?

WinHex विंडोज पर इस तरह के कार्यक्षमता है:

यहाँ छवि विवरण दर्ज करें

मैं लिनक्स पर कुछ इसी तरह के लिए देख रहा हूँ।

जवाबों:


22

यहाँ कैसे लिनक्स मेमोरी डंप करने के लिए एक eHow पृष्ठ है

लिनक्स इस उद्देश्य के लिए दो आभासी उपकरण प्रदान करता है, ' /dev/mem' और ' /dev/kmem', हालांकि कई वितरण सुरक्षा कारणों से उन्हें डिफ़ॉल्ट रूप से अक्षम कर देते हैं। ' /dev/mem' भौतिक प्रणाली मेमोरी से जुड़ा हुआ है, जबकि ' /dev/kmem' किसी भी स्वैप सहित पूरे वर्चुअल मेमोरी स्पेस में मैप करता है। दोनों डिवाइस नियमित फ़ाइलों के रूप में काम करते हैं, और इसका उपयोग dd या किसी अन्य फ़ाइल हेरफेर उपकरण के साथ किया जा सकता है।

यह लिनक्स / यूनिक्स अनुभाग के साथ मेमोरी इमेजिंग टूल पर फॉरेंसिकविकी पेज की ओर जाता है ,

  1. यूनिक्स सिस्टम पर dd , प्रोग्राम dd का उपयोग भौतिक मेमोरी की सामग्री को एक डिवाइस फ़ाइल (जैसे / dev / मेम / और / dev / kmem) का उपयोग करने के लिए किया जा सकता है। हाल के लिनक्स कर्नेल में, / dev / kmem अब उपलब्ध नहीं है। और भी हाल की गुठली में, / देव / मेम के पास अतिरिक्त प्रतिबंध हैं। और सबसे हाल ही में, / देव / मेम डिफ़ॉल्ट रूप से उपलब्ध नहीं है। 2.6 कर्नेल श्रृंखला के दौरान छद्म डिवाइस फ़ाइलों के माध्यम से मेमोरी तक सीधे पहुंच को कम करने का चलन रहा है। : उदाहरण के लिए देखें, संदेश इस पैच के साथ http://lwn.net/Articles/267427/ । Red Hat सिस्टम (और CentOS जैसे व्युत्पन्न डिस्ट्रोस) पर, क्रैश ड्राइवर को मेमोरी एक्सेस ("modprobe क्रैश") के लिए एक छद्म उपकरण बनाने के लिए लोड किया जा सकता है।
  2. दूसरा देखो इस वाणिज्यिक स्मृति विश्लेषण उत्पाद, या तो स्थानीय या डीएमए के माध्यम से या नेटवर्क पर एक दूरस्थ लक्ष्य से Linux सिस्टम से प्राप्त स्मृति की क्षमता है। इसके साथ सैकड़ों सबसे अधिक इस्तेमाल किया लिनक्स वितरण से कर्नेल के लिए पूर्व संकलित शारीरिक मेमोरी पहुँच ड्राइवर (PMAD) मॉड्यूल आता है।
  3. Idetect (लिनक्स)
  4. fmem (लिनक्स)
    fmem कर्नेल मॉड्यूल है, तो उस डिवाइस बनाता है / dev / fmem, समान करने के लिए / dev / mem लेकिन सीमाओं के बिना। इस डिवाइस (फिजिकल रैम) को dd या अन्य टूल का उपयोग करके कॉपी किया जा सकता है। 2.6 लिनक्स कर्नेल पर काम करता है। जीएनयू जीपीएल के तहत।
  5. सुनहरीमछली
    सुनहरीमछली केवल कानून प्रवर्तन द्वारा उपयोग के लिए एक मैक ओएस एक्स लाइव फोरेंसिक उपकरण है। इसका मुख्य उद्देश्य फायरवायर कनेक्शन के माध्यम से एक लक्ष्य मशीन के सिस्टम रैम को डंप करने के लिए इंटरफ़ेस का उपयोग करने के लिए एक आसान प्रदान करना है। यह तब स्वचालित रूप से वर्तमान उपयोगकर्ता लॉगिन पासवर्ड और उपलब्ध होने वाले किसी भी खुले एओएल इंस्टेंट मैसेंजर वार्तालाप टुकड़े को निकालता है। कानून प्रवर्तन डाउनलोड जानकारी के लिए सुनहरी मछली से संपर्क कर सकते हैं।

यह भी देखें: लिनक्स मेमोरी विश्लेषण । आमतौर पर अधिकांश लिनक्स पर GDB
भी उपलब्ध है। और, आपको हमेशा अज्ञात मेमोरी पर लिखने से बचने की सलाह दी जाती है - इससे सिस्टम में भ्रष्टाचार हो सकता है।


1
किसी ने हाल ही में उबंटू प्रणाली पर यह कोशिश की है?

1
मेरे डेबियन सिस्टम पर कोई / देव / मेम या / देव / किमीम।
रोब

मैंने अभी इसे अपने CentOS 7.x VM पर किया था।
slm

4

अस्थिरता अच्छी तरह से काम कर रही है और विंडोज और लिनक्स संगत है।

उनकी वेबसाइट से:

अस्थिरता सभी प्रमुख 32- और 64-बिट विंडोज संस्करणों और सर्विस पैक में XP, 2003 सर्वर, विस्टा, सर्वर 2008, सर्वर 2008 आर 2, और सेवन से मेमोरी डंप का समर्थन करती है। चाहे आपकी मेमोरी डंप कच्चे प्रारूप में हो, एक Microsoft क्रैश डंप, हाइबरनेशन फ़ाइल, या वर्चुअल मशीन स्नैपशॉट, अस्थिरता इसके साथ काम करने में सक्षम है। हम अब कच्चे या LiME प्रारूप में लिनक्स मेमोरी डंप का भी समर्थन करते हैं और इसमें 32+ का विश्लेषण करने के लिए 35+ प्लगइन्स शामिल हैं और 2.6.11 - 3.5.x से 64-बिट लिनक्स कर्नेल और डेबियन, उबंटू, ओपनस्यूएसई, फेडोरा, सेंटोस जैसे वितरण और विषैला पौधा। हम मैक ओएसएक्स मेमोरी डंप के 38 संस्करणों का समर्थन करते हैं 10.5 से 10.8.3 तक माउंटेन लायन, 32- और 64-बिट दोनों। एआरएम प्रोसेसर के साथ एंड्रॉयड फोन भी समर्थित हैं।


3

: दूसरा देखो एक अच्छा, लिनक्स में डंप स्मृति करने के लिए आसान तरीका है http://secondlookforensics.com/

वहाँ भी एक हाल ही में जारी कर्नेल मॉड्यूल आपको चूना कहा जाता है की कोशिश कर सकते है: http://code.google.com/p/lime-forensics/


0

पुष्टि के रूप में मैं इस पद्धति का उपयोग वीएम की स्मृति 7.x मेरे CentOS डंप करने में सक्षम था:

$ head /dev/mem | hexdump -C
00000000  53 ff 00 f0 53 ff 00 f0  53 ff 00 f0 53 ff 00 f0  |S...S...S...S...|
00000010  53 ff 00 f0 53 ff 00 f0  cc e9 00 f0 53 ff 00 f0  |S...S.......S...|
00000020  a5 fe 00 f0 87 e9 00 f0  53 ff 00 f0 46 e7 00 f0  |........S...F...|
00000030  46 e7 00 f0 46 e7 00 f0  57 ef 00 f0 53 ff 00 f0  |F...F...W...S...|
00000040  22 00 00 c0 4d f8 00 f0  41 f8 00 f0 fe e3 00 f0  |"...M...A.......|
00000050  39 e7 00 f0 59 f8 00 f0  2e e8 00 f0 d4 ef 00 f0  |9...Y...........|
00000060  a4 f0 00 f0 f2 e6 00 f0  6e fe 00 f0 53 ff 00 f0  |........n...S...|
00000070  ed ef 00 f0 53 ff 00 f0  c7 ef 00 f0 ed 57 00 c0  |....S........W..|
00000080  53 ff 00 f0 53 ff 00 f0  53 ff 00 f0 53 ff 00 f0  |S...S...S...S...|
*
00000100  59 ec 00 f0 3d 00 c0 9f  53 ff 00 f0 ed 69 00 c0  |Y...=...S....i..|
00000110  53 ff 00 f0 53 ff 00 f0  53 ff 00 f0 53 ff 00 f0  |S...S...S...S...|
*
00000180  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000afea0  00 00 00 00 00 00 00 00  aa aa aa 00 aa aa aa 00  |................|
000afeb0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
...
...
000b0000  ff ff ff ff ff ff ff ff  ff ff ff ff ff ff ff ff  |................|
*
000c0000  55 aa 40 e9 62 0a 00 00  00 00 00 00 00 00 00 00  |U.@.b...........|
000c0010  00 00 00 00 00 00 00 00  00 00 00 00 00 00 49 42  |..............IB|
000c0020  4d 00 9c 80 fc 0f 75 06  e8 4f 01 e9 bc 00 80 fc  |M.....u..O......|

इस 55aah c0000h-effffh रेंज यह संभावना PNP विस्तार हैडर है में होने वाली यह देखते हुए:

संदर्भ: BIOS बूट विशिष्टता

PnP विस्तार हेडर के साथ 3.3 डिवाइस

विकल्प रोम वाले सभी आईपीएल उपकरणों में एक वैध विकल्प ROM हैडर होना चाहिए जो कि सिस्टम मेमोरी एड्रेस C0000h और EFFFFh के बीच 2k सीमा पर रहता है और 55AAh से शुरू होता है। एक डिवाइस के बूटिंग को केवल तभी नियंत्रित किया जा सकता है जब उसमें PnP एक्सपेंशन हैडर हो। विस्तार हैडर जिसका पता बसता था भरपाई + 1AH पर मानक विकल्प ROM हैडर के भीतर, उपकरण कॉन्फ़िगर करने के लिए इस्तेमाल महत्वपूर्ण जानकारी शामिल है। यह भी डिवाइस के विकल्प ROM (BCV या BEV) कि BIOS डिवाइस से बूट करने के लिए फोन करेगा में कोड की ओर इशारा होता है। PnP विस्तार हैडर की संरचना के लिए परिशिष्ट A देखें। PnP Expansion Header के साथ IPL डिवाइस को बूट करने के दो तरीके हो सकते हैं। इसमें BCV या BEV होना चाहिए।

संदर्भ

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.