Linux Dump 内存

Tools:Memory Imaging - Forensics Wiki

创建了dump文件 core.2071

曾经，Linux提供了两个虚拟设备 /dev/mem 和 /dev/kmem 用于dump内存，然而很多发行版基于安全因素没有开启。 /dev/mem 链接物理内存， /dev/kmem 映射整个虚拟内存空间。

后来的Linux内核， /dev/kmem 不再使用。 /dev/mem 收到额外的限制，并且 /dev/mem 默认不开启。

这些设备文件可以被dd或其他文件管理工具打开。

内存Dump工具：

注意，不要在未知内存写入数据，会导致系统崩溃。

Linux dump命令用于备份文件系统。

dump为备份工具程序，可将目录或整个文件系统备份至指定的设备，或备份成一个大文件。

语法：

dump[-cnu][-0123456789][-b

<区块大小>][-B<区块数目>][-d<密度>][-f<设备名称>][-h<层级>][-s<磁带长度>][-T<日期>][目录或文件系统]或dump[-wW]

参数：

-0123456789 备份的层级

-b<区块大小>指定区块的大小，单位为KB

-B<区块数目>指定备份卷册的区块数目

-c 修改备份磁带预设的密度与容量

-d<密度>设置磁带的密度，单位为BPI

-f<设备名称>指定备份设备

-h<层级>当备份层级等于或大于指定的层级时，将不备份用户标示为nodump的文件

-n 当备份工作需要管理员介入时，向所有operator群组中的使用者发出通知

-s<磁带长度>备份磁带的长度，单位为英尺

-T<日期>指定开始备份的时间与日期

-u 备份完毕后，在/etc/dumpdates中记录备份的文件系统，层级，日期与时间等

-w 与-W类似，但仅显示需要备份的文件

-W 显示需要备份的文件及其最后一次备份的层级，时间与日期。

经过分析发现系统默认的core文件生成路径是/var/logs，但/var/logs目录并非系统自带的，系统初始安装默认自带的是/var/log，最终导致该系统出现core dump后并没能生成core文件，因此如何查询和修改系统默认的core dump文件生产路径呢？

方法如下：一. 查询core dump文件路径：

方法1： # cat /proc/sys/kerne怠珐糙貉孬股茬瘫长凯l/core_pattern。

方法2： # /sbin/sysctl kernel.core_pattern二. 修改core dump文件路径：

方法1：临时修改/proc/sys/kernel/core_pattern文件，但/proc目录本身是动态加载的，每次系统重启都会重新加载，因此这种方法只能作为临时修改。 /proc/sys/kernel/core_pattern 例：echo ‘/var/log/%e.core.%p’ >/proc/sys/kernel/core_pattern

方法2：永久修改：使用sysctl -w name=value命令。 例：/sbin/sysctl -w kernel.core_pattern=/var/log/%e.core.%p为了更详尽的记录core dump当时的系统状态，可通过以下参数来丰富core文件的命名： %% 单个%字符。

---