Hoje eu vou falar sobre dump de memória no sistema GNU/Linux. Esse post é um complemento a um outro post, no blog do professor Eriberto.
Eu vou mostrar como fazer o dump de memória, já que no kernel 2.6 o seu acesso vem desabilitado por default.
Isso vem causando muitas dúvidas e questionamentos sobre o assunto. Então fui pesquisar e descobri uma maneira de contornar esse problema. Vamos lá então.
Se você tentar fazer o dump com o comando DD, vai obter o seguinte resultado na tela (imagem1)
Para corrigir esse erro, nós vamos acessar este link e fazer o download do módulo fmem.
Depois de ter feito o download, nós vamos descompactar e desempacotar o arquivo que foi baixado para nossa máquina. A imagem 2 mostra isso na tela do shell.
Após ter feito isso, nós vamos entrar no diretório fmem_1.5-0. A imagem 3 mostra esse passo na tela do computador.
Lá dentro do diretório fmem nós vamos digitar o comando make. A imagem 4 mostra esse comando na tela do computador.
O próximo passo é digitar o comando ./run.sh. A imagem 5 mostra esse comando na tela do computador.
Pronto, agora o módulo fmem foi carregado corretamente e o computador está pronto para o perito realizar o dump da memória. Agora é só usar o comando DD. Não se esqueça de acrescentar na linha do comando o parâmetro count. Este parâmetro leva a quantidade de memória da máquina periciada. Neste exemplo, minha máquina tem 3 GB (3072MB). Em máquinas com 4 GB de memória, coloca-se o valor 4096.
A imagem 6 mostra o comando DD rolando na tela.
Uma apresentação do youtube que o autor comenta sobre o fmem é este link: https://www.youtube.com/watch?v=OYGtceHYzQE
o link para fazer download de fmem não está disponível.
ResponderExcluirPronto, já concertei o link. Bom proveito!
ExcluirSe tiver algum problema, pode entrar em contato comigo aqui no blog