如何转储整个系统内存？

启动VirtualBox后，计算机变得缓慢，然后由于OOM而完全挂起。通常，OOM应该开始杀死进程以释放一些空间，但这没有发生（这是我第二次遇到这种情况）。

我在文本编辑器中进行了一些未保存的重要工作，因此我希望在使用SysRq+ 杀死当前控制台中的所有进程后，将其找到系统RAM中K。有问题的机器是一台笔记本电脑，带有8 GiB RAM，运行Linux x86_64 3.7.5，并以SSD作为目标磁盘。

我的第一次尝试是dd if=/dev/mem of=memory，但是在读取1MiB数据后失败了。接下来，我尝试了dd if=/dev/fmem of=memory bs=1M，但是在读取3010461696字节（恰好是2871 MiB）之后，此操作停止了。看完/proc/mtrr（如下所示）后，我决定尝试添加skip=4096。这最终放慢了速度，读取速度仅为3 MiB / sec，所以我中断了它（产生了5.8 GiB的文件）。（至少文件的最后100个MiB包含FF）

reg01: base=0x000000000 (    0MB), size= 2048MB, count=1: write-back
reg02: base=0x080000000 ( 2048MB), size= 1024MB, count=1: write-back
reg03: base=0x100000000 ( 4096MB), size= 4096MB, count=1: write-back
reg04: base=0x200000000 ( 8192MB), size= 1024MB, count=1: write-back
reg05: base=0x23c000000 ( 9152MB), size=   64MB, count=1: uncachable
reg06: base=0x0b4000000 ( 2880MB), size=   64MB, count=1: uncachable
reg07: base=0x0b8000000 ( 2944MB), size=  128MB, count=1: uncachable

我在文本编辑器中找不到几个小时以来打开的数据，因此我相信在执行转储时已跳过了一些内存。因此，鉴于我的目标（从用户空间程序中恢复数据），将系统内存转储到文件中最有效的方法是什么？进行此类转储时必须考虑哪些几点？

检查此项目：foriana

Foriana是（FOrensic Ram Image ANAlyzer）

输入：（物理）RAM转储输出：各种信息

1.0版可以列出i386 / x86_64 / arm linux / bsd内核的内存转储中的进程和模块，并提供用于从转储中读取线性内存的选项。

有一个内核模块fmem：

Fmem是内核驱动程序，用于创建/ dev / fmem设备。/ dev / fmem的行为与/ dev / mem（直接访问物理内存）相同，但没有/ dev / mem的限制。可以通过/ dev / fmem转储整个物理内存。

我已经用过了，编译起来很容易。

您可能要使用ddrescue或跳过那些无法访问的数据的类似程序。dd conv=noerror可能也会有帮助。还要在超级用户上检查此问题。

但是，更重要的是，如果您陷入OOM状况，那么呆滞很可能是由内核从请求应用程序以外的其他任何内容中换出页面引起的。因此，如果您需要数据，请检查交换而不是/dev/mem-可能在那里。同样，如果没有启动OOM杀手，并且您手动杀掉进程，则例如，一旦您的编辑器被首先杀害，则可能是内存匮乏的进程仍然会花一些时间来获取这些页面。

正如Gilles在评论中提到的那样，数据可以很容易地采用某种特殊的结构，因此即使您设法重建被终止进程的地址空间映射并有足够的运气找到所有需要的数据，也无法轻松找到它们。页面仍然完好无损。