(转载:www.idcew.com)
原因有很多用户可能希望转储Linux服务器的物理内存,包括寻找密码字符串,替换或编辑核心文件或常用的流程,故障排除或做法医分析存储数据,或者仅仅知道的系统。
对于dd /dev/mem命令,这曾经是相当容易的,但是由于安全限制的增加,在新内核中不再提供直接访问选项,即使您是超级用户。
今天,在Linux下搜索内存的最佳方法是使用为此目的开发的工具。这里有六个值得一看的好地方。
LiME (Linux内存提取器)
曾经被称为DMD,这是一个可加载的内核模块,它是唯一可用的工具之一,可以让您转储从Android设备和Linux机器捕获的全部内存。它允许您直接将内存转储到设备的文件系统或通过网络,这一点值得注意,因为它基本上不需要用户交互,这意味着内存捕获比使用其他工具更准确。
Volatilitux
Linux版的流行Windows挥发性工具,挥发性tux是灵活和有用的。它允许您转储RAM,以及检查和提取进程的打开文件。您还能够自动检测内核结构(尽管在某些转储上不能可靠地工作,在这种情况下,您可以创建一个配置文件,其中包含关于内存布局的信息)。还有一个原因值得一看:它支持ARM架构的设备转储,比如智能手机。
Second Look
如果您正在寻找一个专业的或企业的(且昂贵的)解决方案,它是Linux的一个强大的取证工具,那么第二次查看是值得的。这个工具不仅仅是一种转储和搜索内存的简单方法,它还包括许多分析工具,甚至可以帮助防止入侵的主动警报功能。但是,它还提供了在本地或通过网络可靠地转储内存的能力,几百个内核的PMAD模块覆盖了所有常见的Linux发行版。
Draugr
它以挪威神话中的一种不死生物命名,是最早为Linux内存分析开发的工具之一。它只允许您列出进程并搜索和提取系统内存的特定区域,但对于这些目的仍然有效。Draugr的开发已经停止一段时间了。
Memdump
如果您不需要一个优雅的解决方案,Memdump很简单,而且切中要点。Memdump是IBM公共许可证免费软件,它只是将物理内存转储到正常的输出流,同时跳过内存映射中的任何漏洞。(转载:www.idcew.com)
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
