Linuxプロセスのメモリをファイルにダンプする

このタスクを実行するスクリプトを作成しました。

このアイデアは、James Lawrieの回答とこの投稿から来ています。 http://www.linuxforums.org/forum/programming-scripting/52375-reading-memory-other-processes.html#post287195

#!/bin/bash

grep rw-p /proc/$1/maps \
| sed -n 's/^\([0-9a-f]*\)-\([0-9a-f]*\) .*$/\1 \2/p' \
| while read start stop; do \
    gdb --batch --pid $1 -ex \
        "dump memory $1-$start-$stop.dump 0x$start 0x$stop"; \
done

これをファイル（たとえば、「dump-all-memory-of-pid.sh」）に入れ、実行可能にします

使用法： ./dump-all-memory-of-pid.sh [pid]

出力は次の名前のファイルに出力されます：pid-startaddress-stopaddress.dump

依存関係：gdb

試す

    gcore $pid

ここで、$pidはPIDの実際の番号です。詳しくはinfo gcoreをご覧ください

ダンプが発生するまで少し時間がかかる場合があり、一部のメモリが読み取り不可能である可能性がありますが、十分です...大きなファイルを作成できることにも注意してください。この方法で2GBのファイルを作成しただけです。

純粋なbashソリューション：

procdump() 
( 
    cat /proc/$1/maps | grep "rw-p" | awk '{print $1}' | ( IFS="-"
    while read a b; do
        dd if=/proc/$1/mem bs=$( getconf PAGESIZE ) iflag=skip_bytes,count_bytes \
           skip=$(( 0x$a )) count=$(( 0x$b - 0x$a )) of="$1_mem_$a.bin"
    done )
)

使用法：procdump PID

よりきれいなダンプフィルターのために*.soメモリマップされた共有ライブラリと空のメモリ範囲：

procdump()
( 
    cat /proc/$1/maps | grep -Fv ".so" | grep " 0 " | awk '{print $1}' | ( IFS="-"
    while read a b; do
        dd if=/proc/$1/mem bs=$( getconf PAGESIZE ) iflag=skip_bytes,count_bytes \
           skip=$(( 0x$a )) count=$(( 0x$b - 0x$a )) of="$1_mem_$a.bin"
    done )
)

man procさんのコメント：

/ proc/[pid]/memこのファイルは、open（2）、read（2）、およびlseek（2）を介してプロセスのメモリのページにアクセスするために使用できます。

多分それはあなたを助けることができます

プロセスメモリ全体をダンプするために独自のプログラムも作成しました。それはC言語で記述されているため、Androidにクロスコンパイルできるため、これが必要でした。

IPアドレスとTCPポートを指定することもできます。ソースコード ここ 。

プロセスを標準出力にダンプするツール、pcat/memdump：

• http://manpages.ubuntu.com/manpages/gutsy/man1/pcat.1.html
• http://www.porcupine.org/forensics/tct.html

巨大なコアファイルを作成せずに（たとえば、gcoreを使用して）実行中のプロセスの個別のメモリセグメントをダンプする場合は、 here の小さなツールを使用できます。すべての読み取り可能なセグメントを個別のファイルにダンプする場合は、READMEにワンライナーがあります。

LinuxのSysinternals Suiteからprocdumpを使用できるようになりました。

https://github.com/Microsoft/ProcDump-for-Linux