web-dev-qa-db-ja.com

Linuxで物理メモリをダンプするにはどうすればよいですか?

Linuxで物理メモリ(RAM)のダンプをどのように作成しますか?

この目的に使用できるソフトウェアがある場合、

ローカルディスクに書き込むのではなく、ネットワーク経由でデータを送信する必要があることを読みました。誰でもここの特殊性を知っていますか?イーサネットはこの目的で機能しますか、それともディスクに送信する前にキャッシュの量を最小限に抑えるコマンドはありますか?

Windows上のWinHexには次の機能があります。

enter image description here

Linuxでも似たようなものを探しています。

23
Anonymous

これは Linuxメモリをダンプする方法 のeHowページです

Linuxはこの目的のために '/dev/mem'と '/dev/kmem'の2つの仮想デバイスを提供していますが、多くのディストリビューションはセキュリティ上の理由からデフォルトで無効にしています。 '/dev/mem'は物理システムメモリにリンクされていますが、 '/dev/kmem'はスワップを含む仮想メモリ空​​間全体にマップされます。どちらのデバイスも通常のファイルとして動作し、ddまたはその他のファイル操作ツールで使用できます。

Memory Imaging Tools のForensicsWikiページに Linux/Unixセクション が表示されます。

  1. dd Unixシステムでは、プログラムddを使用して、デバイスファイル(例:/ dev/memおよび/ dev/kmem)を使用して物理メモリの内容をキャプチャできます。最近のLinuxカーネルでは、/ dev/kmemは使用できなくなりました。さらに最近のカーネルでは、/ dev/memに追加の制限があります。また、最近のバージョンでは、/ dev/memもデフォルトで使用できなくなりました。 2.6カーネルシリーズ全体を通じて、疑似デバイスファイルを介したメモリへの直接アクセスを減らす傾向があります。たとえば、このパッチに付随するメッセージ http://lwn.net/Articles/267427/ を参照してください。 Red Hatシステム(およびCentOSなどの派生ディストリビューション)では、クラッシュドライバーをロードして、メモリアクセス用の疑似デバイスを作成できます(「modprobeクラッシュ」)。
  2. Second Lookこの商用メモリ分析製品には、ローカルまたはDMAを介して、またはネットワーク経由でリモートターゲットからLinuxシステムからメモリを取得する機能があります。最も一般的に使用されているLinuxディストリビューションの数百のカーネル用のコンパイル済み物理メモリアクセスドライバー(PMAD)モジュールが付属しています。
  3. Idetect(Linux)
  4. fmem(Linux)
    fmemはカーネルモジュールであり、/ dev/memと同様のデバイス/ dev/fmemを作成しますが、制限はありません。このデバイス(物理RAM)は、ddまたはその他のツールを使用してコピーできます。 2.6 Linuxカーネルで動作します。 GNU GPLの下。
  5. 金魚
    Goldfishは、法執行機関のみが使用するMac OS Xライブフォレンジックツールです。その主な目的は、Firewire接続を介してターゲットマシンのシステムRAMをダンプするための使いやすいインターフェイスを提供することです。次に、現在のユーザーログインパスワードと、使用可能な開いているAOLインスタントメッセンジャーの会話フラグメントを自動的に抽出します。法執行機関がダウンロード情報についてgoldfish.aeに連絡する場合があります。

参照: Linuxメモリ分析
[〜#〜] gdb [〜#〜]もあり、ほとんどのLinuxで一般的に利用できます。
そして、未知のメモリを上書きしないように常にアドバイスされています-システムの破損につながる可能性があります。

22
nik

ボラティリティ はうまく機能しているようで、WindowsおよびLinux互換です。

彼らのウェブサイトから:

ボラティリティは、XP、2003 Server、Vista、Server 2008、Server 2008 R2、Sevenを含むすべての主要な32ビットおよび64ビットWindowsバージョンとサービスパックからのメモリダンプをサポートします。メモリダンプがraw形式、Microsoftクラッシュダンプ、休止状態ファイル、仮想マシンスナップショットのいずれであっても、Volatilityはそれを処理できます。また、rawまたはLime形式のLinuxメモリダンプをサポートし、2.6.11〜3.5.xの32ビットおよび64ビットLinuxカーネル、およびDebian、Ubuntu、OpenSuSE、Fedora、CentOSなどのディストリビューションを分析するための35以上のプラグインを含みます。マンドレイク。 32ビットと64ビットの両方で、10.5から10.8.3 Mountain Lionの38バージョンのMac OSXメモリダンプをサポートしています。 Android ARMプロセッサを搭載した電話もサポートされています。

4
Patel95

セカンドルックは、Linuxでメモリをダンプするための優れた簡単な方法です http://secondlookforensics.com/

Limeと呼ばれる最近リリースされたカーネルモジュールもあります。 http://code.google.com/p/Lime-forensics/

3
Andrew Tappert