Despeje a memória de um processo linux em um arquivo

Eu fiz um script que realiza essa tarefa.

A ideia vem da resposta de James Lawrie e deste post: http://www.linuxforums.org/forum/programming-scripting/52375-reading-memory-other-processes.html#post287195

#!/bin/bash

grep rw-p /proc/$1/maps \
| sed -n 's/^\([0-9a-f]*\)-\([0-9a-f]*\) .*$/\1 \2/p' \
| while read start stop; do \
    gdb --batch --pid $1 -ex \
        "dump memory $1-$start-$stop.dump 0x$start 0x$stop"; \
done

coloque isso em um arquivo (por exemplo, "dump-all-memory-of-pid.sh") e torne-o executável

uso:./dump-all-memory-of-pid.sh [pid]

A saída é impressa em arquivos com os nomes:pid-startaddress-stopaddress.dump

Dependências:gdb

Não tenho certeza de como você despeja toda a memória em um arquivo sem fazer isso repetidamente (se alguém souber uma maneira automatizada de obter o gdb para fazer isso, por favor me avise), mas o seguinte funciona para qualquer lote de memória, supondo que você saiba o pid:

$ cat /proc/[pid]/maps

Isso estará no formato (exemplo):

00400000-00421000 r-xp 00000000 08:01 592398                             /usr/libexec/dovecot/pop3-login
00621000-00622000 rw-p 00021000 08:01 592398                             /usr/libexec/dovecot/pop3-login
00622000-0066a000 rw-p 00622000 00:00 0                                  [heap]
3e73200000-3e7321c000 r-xp 00000000 08:01 229378                         /lib64/ld-2.5.so
3e7341b000-3e7341c000 r--p 0001b000 08:01 229378                         /lib64/ld-2.5.so

Escolha um lote de memória (por exemplo, 00621000-00622000) e use gdb como root para anexar ao processo e despejar essa memória:

$ gdb --pid [pid]
(gdb) dump memory /root/output 0x00621000 0x00622000

Em seguida, analise /root/output com o comando strings, a menos que você queira o PuTTY em toda a tela.

tentar

    gcore $pid

onde $pidé o número real do pid; para mais informações consulte:info gcore

pode levar algum tempo para o dump acontecer, e alguma memória pode não ser legível, mas é boa o suficiente... esteja ciente também que pode criar arquivos grandes, acabei de criar um arquivo de 2 GB dessa maneira..

Solução bash pura:

procdump() 
( 
    cat /proc/$1/maps | grep "rw-p" | awk '{print $1}' | ( IFS="-"
    while read a b; do
        dd if=/proc/$1/mem bs=$( getconf PAGESIZE ) iflag=skip_bytes,count_bytes \
           skip=$(( 0x$a )) count=$(( 0x$b - 0x$a )) of="$1_mem_$a.bin"
    done )
)

Uso: procdump PID

para um dump mais limpo, filtre as *.sobibliotecas compartilhadas mapeadas na memória e os intervalos de memória vazios:

procdump()
( 
    cat /proc/$1/maps | grep -Fv ".so" | grep " 0 " | awk '{print $1}' | ( IFS="-"
    while read a b; do
        dd if=/proc/$1/mem bs=$( getconf PAGESIZE ) iflag=skip_bytes,count_bytes \
           skip=$(( 0x$a )) count=$(( 0x$b - 0x$a )) of="$1_mem_$a.bin"
    done )
)

man proc disse:

/proc/[pid]/mem Este arquivo pode ser usado para acessar as páginas da memória de um processo através de open(2), read(2) e lseek(2).

Talvez possa ajudá-lo

Eu fiz meu próprio programa para despejar toda a memória do processo também, está em C para que possa ser compilado para Android, que é o que eu precisava.

Você também pode especificar o endereço IP e a porta tcp. Código fonte aqui .

Ferramenta para despejar o processo na saída padrão, pcat/memdump:

• http://manpages.ubuntu.com/manpages/gutsy/man1/pcat.1.html
• http://www.porcupine.org/forensics/tct.html

Agora você pode usar o procdump do pacote SysInternals no Linux:

https://github.com/Microsoft/ProcDump-for-Linux

Se você deseja despejar um segmento de memória separado do processo em execução sem criar um arquivo principal enorme (digamos com gcore), você pode usar uma pequena ferramenta daqui . Há também uma linha no README se você deseja despejar todos os segmentos legíveis em arquivos separados.