Linux dump命令

Linux dump命令用于备份文件系统。

dump为备份工具程序，可将目录或整个文件系统备份至指定的设备，或备份成一个大文件。

语法：

dump[-cnu][-0123456789][-b

<区块大小>][-B<区块数目>][-d<密度>][-f<设备名称>][-h<层级>][-s<磁带长度>][-T<日期>][目录或文件系统]或dump[-wW]

参数：

-0123456789 备份的层级

-b<区块大小>指定区块的大小，单位为KB

-B<区块数目>指定备份卷册的区块数目

-c 修改备份磁带预设的密度与容量

-d<密度>设置磁带的密度，单位为BPI

-f<设备名称>指定备份设备

-h<层级>当备份层级等于或大于指定的层级时，将不备份用户标示为nodump的文件

-n 当备份工作需要管理员介入时，向所有operator群组中的使用者发出通知

-s<磁带长度>备份磁带的长度，单位为英尺

-T<日期>指定开始备份的时间与日期

-u 备份完毕后，在/etc/dumpdates中记录备份的文件系统，层级，日期与时间等

-w 与-W类似，但仅显示需要备份的文件

-W 显示需要备份的文件及其最后一次备份的层级，时间与日期。

Tools:Memory Imaging - Forensics Wiki

创建了dump文件 core.2071

曾经，Linux提供了两个虚拟设备 /dev/mem 和 /dev/kmem 用于dump内存，然而很多发行版基于安全因素没有开启。 /dev/mem 链接物理内存， /dev/kmem 映射整个虚拟内存空间。

后来的Linux内核， /dev/kmem 不再使用。 /dev/mem 收到额外的限制，并且 /dev/mem 默认不开启。

这些设备文件可以被dd或其他文件管理工具打开。

内存Dump工具：

注意，不要在未知内存写入数据，会导致系统崩溃。

最近看到有个CTF题感觉挺有意思，就是从一个bin中找到一个secret key，然后用来签名session cookies用来怼一个使用go的Web服务器。通常这种类型题的flag都比较直接。可以直接用strings怼这个bin就可以了，然而这次的这个题目中的bin不同，因为有太多杂碎(noise)要过滤了。于是在此我就来展示一下如何用一些基本的Linux命令配合gdb从进程中dump出内存中的信息。

先file一下，

发现是64位的Linux可执行文件。

然后strings一下，

发现字符串太多，还是先不看，再研究深一点吧。

然后先运行一下程序，

然后再另一个终端找到这个进程的PID

然后cat一下它的内存(太长不看TLDR)

似乎太多了有点可怕，但是不用害怕。

然后启动gdb，将改进程attach到gdb上。

然后就是gdb命令

解释一下语法：

然后就是用strings命令找出刚才dump出的文件的字符串，我喜欢最少10个长度的字符串(-n 10)来过滤掉一些无用的信息(noise)。

结果如下：

可以看到好像有个hash值，为了不泄露CTF题的答案，我已经把hash值改了。

总结

好了，你已经找到运行的进程的PID，dump出了那个进程的内存内容，然后用gdb，strings命令找出了有用的数据。

以上翻译自：

https://colin.guru/index.php?title=Dumping_Ram_From_Running_Linux_Processes

Let’s get your hands dirty

Down to business

于是我也想试一下啊，然而我想找一个执行命令之后不退出的进程还蛮难的，最终我想到了apache，然而必须要有客户端与apache建立TCP长连接，如果是那种5xx的错误，比如这个，

就会发现TCP连接建立之后马上又断开了。

于是只能弄一个TCP长连接吧。返回200的那种应该可以。

结果发现还是不行。

于是通过htop漫无目的地找吧，于是还是找apache的主进程吧。

通过htop发信apache的主进程的PID为6900，

于是

(注意：要以root的身份启动，否则可能没有权限。)

然后gdb就开始调试6900进程了，一顿输出啊，几秒之后到达gdb的命令行。

然后dump出heap中的内容。

然后在/root目录找到了那两个dump出来的文件，

从任意一个dump中找出10个字符以上的字符串吧。

————————————————

原文链接： https://blog.csdn.net/caiqiiqi/article/details/72807952

---