Hay dos grandes artículos sobre cómo adquirir memoria en Linux usando linpmem:
Tratando el enfoque desde mantener mi seguridad Me encontré con el siguiente problema, que parece ser un problema más general:
wget https://github.com/google/rekall/releases/download/v1.5.1/linpmem-2.1.post4
chmod +x linpmem-2.1.post4
./linpmem-2.1.post4 -o mem.aff4r
Se está ejecutando directamente y creando un archivo grande (se detuvo & gt; 160 GB). Comprobación linpmem
más de cerca se basa en la asignación de memoria de Linux /proc/kcore
para adquirir los datos.
sudo ls -lh /proc/kcore
-r-------- 1 root root 128T Dec 12 11:32 /proc/kcore
¡Esto es enorme! Como se indica aquí ...
...
/proc/kcore
Es la asignación virtual de su RAM para el kernel. En sistemas de 64 bits, ese tamaño puede ser un límite absoluto de 128T, ya que es lo máximo que el sistema puede asignar.
que es algo contra el man proc
:
/proc/kcore
This file represents the physical memory of the system and is stored in the ELF core file format. With this pseudo-file, and an unstripped kernel
(/usr/src/linux/vmlinux) binary, GDB can be used to examine the current state of any kernel data structures.
The total length of the file is the size of physical memory (RAM) plus 4 KiB.
Entonces, la gran pregunta es: ¿Cómo adquirir solo la memoria / intercambio, pero no el contenido del disco duro?
fuente