Linux 内存取证之常识问题
/dev/mem 文件只能存放896M RAM数据 Fmem和LIME 获取物理内存的差距 Fmem 创建一个字符驱动在用户区域,才可以有访问内存权限 Fmem优点是可以获取到超过896M的内存数据 Fmem缺点是需要调查员检查/proc/iomem 去确定哪些RAM被映射了。 LIME 直接加载一个内核驱动,所有的操作都在内核完成,不需要在用户区域和内核区域交换...
