/proc/kcore/が大きすぎるため、Ubuntu 18.04でメモリダンプが失敗します。

/proc/kcore/が大きすぎるため、Ubuntu 18.04でメモリダンプが失敗します。

Linuxでlinpmemを使用してメモリを取得する方法について2つの素晴らしい記事があります。

センス 私のビールを安全に守ってください

から始めましょう私のビールを安全に守ってくださいもっと一般的な問題のように見える次の問題に直面しました。

wget https://github.com/google/rekall/releases/download/v1.5.1/linpmem-2.1.post4 chmod +x linpmem-2.1.post4 ./linpmem-2.1.post4 -o mem.aff4r

直接実行して大容量ファイルを作成します(160 GB以上を停止)。もっと詳しく見ると、データを取得するためにlinpmemLinuxメモリマッピングを使用します。/proc/kcore

sudo ls -lh /proc/kcore -r-------- 1 root root 128T Dec 12 11:32 /proc/kcore

これはすごいです!記載されているようにここ...

.../proc/kcoreカーネルの仮想 RAM 割り当てです。 64ビットシステムでは、このサイズの絶対的な制限は128Tです。これは、システムが割り当てることができる最大容量であるためです。

これはやや反対ですman proc

   /proc/kcore
          This file represents the physical memory of the system and  is  stored  in  the  ELF  core  file  format.   With  this  pseudo-file,  and  an  unstripped  kernel
          (/usr/src/linux/vmlinux) binary, GDB can be used to examine the current state of any kernel data structures.

          The total length of the file is the size of physical memory (RAM) plus 4 KiB.

したがって、最大の質問は、メモリ/スワップ領域のみをインポートし、ハードドライブの内容はインポートしない方法です。

関連情報