Answers:
您过去曾经可以简单地dd /dev/mem回到过去,但出于安全原因(因为内核2.6,IIRC)而不再。
替代方法是使用可以让root用户执行此操作的选项自己构建内核(稍后将在名称上进行编辑,现在在电话上),或者更好的方法是使用fmem,这是一个内核模块,该模块创建的/dev/fmem设备非常易于转储。
fmem在12.04上对我非常有用。只要确保使用run.sh压缩包中包含的文件来加载模块即可;不要使用insmod:
$ ./run.sh ... ----存储区域:----- reg00:base = 0x000000000(0MB),size = 1024MB,count = 1:写回 reg01:base = 0x0c8800000(3208MB),size = 2MB,count = 1:写合并 ----------------------- !!! 不要忘记在dd上添加“ count =“! $ ls / dev / f * / dev / fb0 / dev / fd0 / dev / fmem / dev / full / dev / fuse $ sudo dd if = / dev / fmem of = / tmp / fmem_dump.dd bs = 1MB count = 10 10 + 0条记录 10 + 0条记录 复制10000000字节(10 MB),0.0331212 s,302 MB / s
您可能无法dd在现代内核中存储您的内存,因为它们一直在减少直接访问,而直接访问通常用于不可靠的事情。该wiki链接一些工具取证可能会感兴趣,但没有什么是真的已经在过去的几年里更新。LiME似乎已更新,尽管我尚未对其进行测试。
/dev/mem受限制。