Hay dos grandes artículos sobre cómo adquirir memoria en Linux usando linpmem:

SANS mantener mi seguridad

Tratando el enfoque desde mantener mi seguridad Me encontré con el siguiente problema, que parece ser un problema más general:

wget https://github.com/google/rekall/releases/download/v1.5.1/linpmem-2.1.post4 chmod +x linpmem-2.1.post4 ./linpmem-2.1.post4 -o mem.aff4r

Se está ejecutando directamente y creando un archivo grande (se detuvo & gt; 160 GB). Comprobación linpmem más de cerca se basa en la asignación de memoria de Linux /proc/kcore para adquirir los datos.

sudo ls -lh /proc/kcore -r-------- 1 root root 128T Dec 12 11:32 /proc/kcore

¡Esto es enorme! Como se indica aquí ...

... /proc/kcore Es la asignación virtual de su RAM para el kernel. En sistemas de 64 bits, ese tamaño puede ser un límite absoluto de 128T, ya que es lo máximo que el sistema puede asignar.

que es algo contra el man proc:

   /proc/kcore
          This file represents the physical memory of the system and  is  stored  in  the  ELF  core  file  format.   With  this  pseudo-file,  and  an  unstripped  kernel
          (/usr/src/linux/vmlinux) binary, GDB can be used to examine the current state of any kernel data structures.

          The total length of the file is the size of physical memory (RAM) plus 4 KiB.

Entonces, la gran pregunta es: ¿Cómo adquirir solo la memoria / intercambio, pero no el contenido del disco duro?

gies0r
fuente