ram dump linux /dev/mem, loopback mount ?

woensdag 1 augustus 2012 10:20

Acties:

0 Henk 'm!

Topicstarter

Ik ben opzoek naar een manier om een ram dump te maken en deze vervolgens uit te lezen. Helaas kan ik hier niet heel erg veel over vinden, links zijn dan ook welkom.

Ik heb wel een stukje gelezen over /dev/mem

Nu kon je een ram dump maken dmv:

dd if=/dev/mem of=/root/mem.dump

nu is deze "dump" maar 1MB, lijkt me niet correct. Ik zou ook even niet weten hoe je dit bestand uit zo kunnen lezen dmv het loopback device, welk type moet hiervoor worden gebruikt, of kan dit überhaupt niet dmv het loopback device ?

woensdag 1 augustus 2012 10:50

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Linux

Wat is je doel? Wat wil je dus bereiken en welke informatie wil je uit je RAM kunnen halen? Heb je nog meer gevonden op Google over dit?

Commandline FTW | Tweakt met mate

woensdag 1 augustus 2012 10:59

Acties:

0 Henk 'm!

MarcHeijerman

Topicstarter

ik wil kunnen bekijken wat een bepaald process allemaal in je memory stopt en hoe dat eruit ziet.

dus stell ik run een app als: echo "Hello World"

dan zou ik in het memory willen kijken hoe dat er uitziet, met addressen enz.

net een scriptje gevonden:

code:

#!/bin/bash

grep rw-p /proc/$1/maps | sed -n 's/^\([0-9a-f]*\)-\([0-9a-f]*\) .*$/\1 \2/p' | while read start stop; 
do gdb --batch --pid $1 -ex "dump memory $1-$start-$stop.dump 0x$start 0x$stop"; done

uitvoeren met als parameter het pid van het process

je moet hiervoor wel gdb geinstalleerd hebben btw

[ Voor 44% gewijzigd door MarcHeijerman op 01-08-2012 11:08 ]

woensdag 1 augustus 2012 11:08

Acties:

0 Henk 'm!

0xDEADBEEF

MarcHeijerman schreef op woensdag 01 augustus 2012 @ 10:59:
ik wil kunnen bekijken wat een bepaald process allemaal in je memory stopt en hoe dat eruit ziet.

dus stell ik run een app als: echo "Hello World"

dan zou ik in het memory willen kijken hoe dat er uitziet, met addressen enz.

net een scriptje gevonden:
code:
1
2
3
4
#!/bin/bash

grep rw-p /proc/$1/maps | sed -n 's/^$[0-9a-f]*$-$[0-9a-f]*$ .*$/\1 \2/p' | while read start stop; 
do gdb --batch --pid $1 -ex "dump memory $1-$start-$stop.dump 0x$start 0x$stop"; done
uitvoeren met als parameter het pid van het process

Dan zou ik beginnen met gdb, strace en dergelijke. Ook kan het nodig zijn om een custom kernel te compileren, zonder CONFIG_STRICT_DEVMEM en CONFIG_X86_PAT (of opstarten met 'linux (root= ... ) nopat').

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

woensdag 1 augustus 2012 11:10

Acties:

0 Henk 'm!

MarcHeijerman

Topicstarter

0xDEADBEEF schreef op woensdag 01 augustus 2012 @ 11:08:
[...]

Dan zou ik beginnen met gdb, strace en dergelijke. Ook kan het nodig zijn om een custom kernel te compileren, zonder CONFIG_STRICT_DEVMEM en CONFIG_X86_PAT (of opstarten met 'linux (root= ... ) nopat').

wat doet de nopat precies ?

woensdag 1 augustus 2012 11:14

Acties:

0 Henk 'm!

0xDEADBEEF

In ieder geval niet jouw huiswerk

http://www.kernel.org/doc...ion/kernel-parameters.txt
http://kernelnewbies.org/...536a5ac956d72ca32035216c3

[ Voor 29% gewijzigd door 0xDEADBEEF op 01-08-2012 11:16 ]

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

woensdag 1 augustus 2012 11:16

Acties:

0 Henk 'm!

MarcHeijerman

Topicstarter

wel jouw huiswerk ? ? ^_^ Ziet er ehm vooral lang uit

Onderwerpen