Linux下搜索内存的六大工具
- 类别:Linux
- 作者:管理
- 出版者:必威平台
- 2015年10月22日
原因有很多用户可能希望转储Linux服务器的物理内存,包括寻找密码字符串,替换或编辑核心文件或常用的流程,故障排除或做法医分析存储数据,或者仅仅知道的系统。
过去,dd /dev/mem命令很容易做到这一点,但由于安全限制的增加,在新的内核中,直接访问选项不再可用,即使您是超级用户。
现在,在Linux下搜索内存的最好方法是使用为此目的开发的工具。这里有六个值得一看的好例子。
DMD是一个可加载的内核模块,它是唯一可用的工具之一,可以让你转储从Android设备和Linux机器捕获的全部内存。它允许您将内存直接转储到设备的文件系统或通过网络,值得注意的是,它基本上不需要用户交互就可以工作,这意味着内存捕获比使用其他工具要准确得多。
作为流行的Windows挥发性工具的Linux版本,挥发性工具非常灵活和有用。它允许您转储RAM,以及检查和提取进程打开的文件。您还能够自动检测内核结构(尽管这在某些转储上不能可靠地工作,在这种情况下,您可以创建一个配置文件,其中包含关于内存布局的信息)。它值得一试的另一个原因是:它支持从具有ARM架构的设备(如智能手机)转储数据。
如果您正在寻找一个专业的或企业(和昂贵的)解决方案,它是Linux的一个强大的取证工具,那么Second Look值得一试。该工具不仅仅是转储和搜索内存的简单方法,因为它包括许多分析工具,甚至主动警报功能,以帮助防止入侵。但是,它还提供了可靠地在本地或通过网络转储内存的能力,使用PMAD模块为覆盖所有常见Linux发行版的数百个内核提供内存转储。
它以挪威神话中的一种不死生物命名,是最早为Linux内存分析开发的工具之一。它将只允许您列出进程并搜索和提取系统内存的特定区域,但对于这些目的仍然有效。Draugr的开发已经停止了一段时间。
如果您不需要一个优雅的解决方案,Memdump是简单而切中要点的。Memdump是IBM Public License免费软件,它简单地将物理内存转储到正常的输出流,同时跳过内存映射中的任何漏洞。