典型的 linux 机器挂载 atmpfs
来存储临时文件:
$ df
Filesystem Size Used Avail Use% Mounted on
/dev/sda1 953M 702M 203M 78% /
tmpfs 1.5G 111M 1.5G 0% /tmp
...
在现场机器上,我如何访问tmpfs
作为块设备的底层内存以便对其进行映像以dd
用于文件恢复/取证/入侵检测目的?没有任何设备/dev
可以正确地隔离和映射所使用的内存tmpfs
到块设备。
此处已提出此问题,但没有一个答案有帮助:https ://www.linuxquestions.org/questions/linux-general-1/how-to-backup-ramfs-or-tmpfs-using-dd-4175422520 /
从我读过的内容来看,没有底层的块设备。tmpfs 通过内核动态调整大小 - 我从中推断它不能被视为一个块。Ypu wpld 需要使用 ramdisk 的你想要一个块设备。