如何在 Linux 中转储物理内存？

Question

如何在 Linux 中创建物理内存 (RAM) 的转储？

有哪些软件可用于此目的？

我已经读到不应写入本地磁盘，而应通过网络发送数据。有人知道这里的特点吗？以太网是否可以用于此目的，或者是否有任何命令可以在发送到磁盘之前最小化缓存量？

Windows 上的 WinHex 具有这样的功能：

我正在 Linux 上寻找类似的东西。

Answer 1

这是关于如何转储 Linux 内存的 eHow 页面

Linux 为此提供了两个虚拟设备，“ /dev/mem”和“ /dev/kmem”，尽管出于安全原因，许多发行版默认禁用它们。“ /dev/mem”链接到物理系统内存，而“ /dev/kmem”映射到整个虚拟内存空间，包括任何交换。这两种设备都可以作为常规文件使用，并且可以与 dd 或任何其他文件操作工具一起使用。

这导致 ForensicsWiki 页面上的内存成像工具与Linux/Unix 部分，

1. dd 在 Unix 系统上，程序 dd 可用于使用设备文件（例如 /dev/mem 和 /dev/kmem）捕获物理内存的内容。在最近的 Linux 内核中，/dev/kmem 不再可用。在更新的内核中，/dev/mem 有额外的限制。最近，/dev/mem 也不再默认可用。在整个 2.6 内核系列中，趋势是减少通过伪设备文件对内存的直接访问。例如，请参阅此补丁附带的消息：http : //lwn.net/Articles/267427/。在 Red Hat 系统（以及 CentOS 等衍生发行版）上，可以加载崩溃驱动程序以创建用于内存访问的伪设备（“modprobe crash”）。
2. 第二眼 这种商业内存分析产品能够从 Linux 系统获取内存，无论是本地还是通过 DMA 或网络从远程目标。它带有预编译的物理内存访问驱动程序 (PMAD) 模块，适用于最常用的 Linux 发行版中的数百个内核。
3. 检测 (Linux)
4. fmem (Linux)
   fmem 是内核模块，它创建设备 /dev/fmem，类似于 /dev/mem 但没有限制。可以使用 dd 或其他工具复制此设备（物理 RAM）。适用于 2.6 Linux 内核。在 GNU GPL 下。
5. Goldfish
   Goldfish 是一款 Mac OS X 实时取证工具，仅供执法部门使用。它的主要目的是提供一个易于使用的界面，通过火线连接转储目标机器的系统 RAM。然后它会自动提取当前用户登录密码和任何可能可用的打开的 AOL Instant Messenger 对话片段。执法部门可以联系 goldfish.ae 获取下载信息。

另请参阅：Linux 内存分析。大多数 Linux 上
也普遍提供GDB。
而且，始终建议您避免写入未知内存——这可能会导致系统损坏。