プロセス終了後のヒープメモリ検索

Question

プロセスが終了すると、そのプロセスのメモリも消えます。これ以上その内容が見つかりません。

このプロセスのいくつかの痕跡は残っています。 Linuxは、ほとんどのオペレーティングシステムと同様に、メモリページが解放されるのではなく、割り当てられたときに削除されます。つまり、カーネルがプロセスからページを回収するのではなく、カーネルがプロセスにページを提供する前にページがクリアされます。したがって、RAMへのフォレンジック調査（アクセス/dev/mem（もちろんルートが必要）または直接ハードウェアアクセスを介して）を介して終了したプロセスのデータが明らかになります。

しかし、これらのページを一緒にリンクすること（一緒に配置する方法を見つけること）は非常に困難です。さらに、3日後にこれらのページのほとんどが再利用されることがあります。

探したい場合数量シャットダウンされたプロセスで使用されているメモリ（ヒープ消費の検索など）は、デフォルトで一般的な監査フレームワークを使用してどこにも書き込まれません。特に興味深い情報とは見なされません。監査フレームワークは、パフォーマンス追跡ではなく、主にセキュリティと責任に焦点を当てています。

Answer 1

プロセスが終了すると、そのプロセスのメモリも消えます。これ以上その内容が見つかりません。

このプロセスのいくつかの痕跡は残っています。 Linuxは、ほとんどのオペレーティングシステムと同様に、メモリページが解放されるのではなく、割り当てられたときに削除されます。つまり、カーネルがプロセスからページを回収するのではなく、カーネルがプロセスにページを提供する前にページがクリアされます。したがって、RAMへのフォレンジック調査（アクセス/dev/mem（もちろんルートが必要）または直接ハードウェアアクセスを介して）を介して終了したプロセスのデータが明らかになります。

しかし、これらのページを一緒にリンクすること（一緒に配置する方法を見つけること）は非常に困難です。さらに、3日後にこれらのページのほとんどが再利用されることがあります。

探したい場合数量シャットダウンされたプロセスで使用されているメモリ（ヒープ消費の検索など）は、デフォルトで一般的な監査フレームワークを使用してどこにも書き込まれません。特に興味深い情報とは見なされません。監査フレームワークは、パフォーマンス追跡ではなく、主にセキュリティと責任に焦点を当てています。

プロセス終了後のヒープメモリ検索

ベストアンサー1

おすすめ記事