Linux'ta linpmem kullanarak hafızanın nasıl edinileceği hakkında iki harika makale var:
Tutuculuk güvenliğinden yaklaşımı denemek, daha genel bir sorun gibi görünen aşağıdaki konuyla karşılaştım:
wget https://github.com/google/rekall/releases/download/v1.5.1/linpmem-2.1.post4
chmod +x linpmem-2.1.post4
./linpmem-2.1.post4 -o mem.aff4r
Doğrudan çalışıyor ve büyük bir dosya oluşturuyor (durduruldu>> 160GB). linpmemDaha yakından kontrol /proc/kcoreetmek, veri toplamak için linux bellek eşlemesine dayanır .
sudo ls -lh /proc/kcore
-r-------- 1 root root 128T Dec 12 11:32 /proc/kcore
Bu cok büyük! As belirtildiği burada ...
...
/proc/kcoreRAM'inizin çekirdek için sanal tahsisidir. 64 bit sistemlerde bu boyut, 128T mutlak bir sınır olabilir, çünkü sistemin atayabileceği en fazla değer budur.
Bu tür karşı man proc:
/proc/kcore
This file represents the physical memory of the system and is stored in the ELF core file format. With this pseudo-file, and an unstripped kernel
(/usr/src/linux/vmlinux) binary, GDB can be used to examine the current state of any kernel data structures.
The total length of the file is the size of physical memory (RAM) plus 4 KiB.
Öyleyse en büyük soru şudur: HDD içeriğini değil, sadece belleği nasıl alabilir / değiştirebilirim?