Есть две замечательные статьи о том, как собрать память в Linux с помощью linpmem:
Пытаясь использовать подход holdmybeersecurity, я столкнулся со следующей проблемой, которая представляется более общей:
wget https://github.com/google/rekall/releases/download/v1.5.1/linpmem-2.1.post4
chmod +x linpmem-2.1.post4
./linpmem-2.1.post4 -o mem.aff4r
Работает напрямую и создает большой файл (остановил его> 160 ГБ). Более тщательная проверка linpmem получения данных опирается на отображение памяти linux /proc/kcore .
sudo ls -lh /proc/kcore
-r-------- 1 root root 128T Dec 12 11:32 /proc/kcore
Это огромно! Как указано здесь...
...
/proc/kcore- это виртуальное распределение вашей оперативной памяти для ядра. В 64-битных системах этот размер может быть абсолютным пределом 128T, так как это максимум, который может выделить система.
что отчасти против man proc:
/proc/kcore
This file represents the physical memory of the system and is stored in the ELF core file format. With this pseudo-file, and an unstripped kernel
(/usr/src/linux/vmlinux) binary, GDB can be used to examine the current state of any kernel data structures.
The total length of the file is the size of physical memory (RAM) plus 4 KiB.
Итак, главный вопрос: как получить только память / своп, но не содержимое HDD?