вентилятор работает всегда в Asus X542U
Из вики-сайта Forensic: Инструменты: обработка изображений памяти
отрывок
Linux
/ dev / mem
На более ранней версии В системах Linux программу dd можно использовать для чтения содержимого физической памяти из файла устройства / dev / mem. Однако в последних системах Linux / dev / mem предоставляет доступ только к ограниченному диапазону адресов, а не ко всей физической памяти системы. В других системах он может быть вообще недоступен. На протяжении всей серии 2.6 ядра Linux была тенденция к сокращению прямого доступа к памяти через файлы псевдоустройства. См., Например, сообщение, сопровождающее этот патч: http://lwn.net/Articles/267427/ .
/ dev / crash
В системах Red Hat (и в системах с соответствующими дистрибутивами, такими как Fedora или CentOS) можно загрузить драйвер аварийного завершения для создания псевдоустройства / dev / crash для доступа к необработанной физической памяти (с помощью команды "сбой modprobe").Этот модуль также может быть скомпилирован для других дистрибутивов Linux с небольшими усилиями (см., Например, http://gleeda.blogspot.com/2009/08/devcrash-driver.html ). Когда аварийный драйвер модифицируется, компилируется и загружается в другие системы, получившееся устройство доступа к памяти небезопасно полностью отображать в образе. Следует проявлять осторожность, чтобы избегать адресов, не поддерживаемых RAM. В Linux / proc / iomem предоставляет образу правильные диапазоны адресов, помеченные как «Системная RAM».
Second Look: Linux Memory Forensics
Этот коммерческий продукт для судебной экспертизы памяти поставляется с модифицированной версией аварийного драйвера и сценарием для безопасного сброса памяти с использованием исходного или модифицированного драйвера в любой данной системе Linux.
fmemfmem - репозиторий githubfmem - это модуль ядра, который создает устройство / dev / fmem, аналогично / dev / mem, но без ограничений. Это устройство (физическое ОЗУ) можно скопировать с помощью dd или другого инструмента. Работает на ядрах Linux 2.6. Под GNU GPL.
LiME - Linux Memory Extractor
Linux Memory Extractor (LiME) - это загружаемый модуль ядра (LKM), который позволяет получать энергозависимую память от устройств на базе Linux и Linux, например, работающих под управлением Android. Инструмент поддерживает выгрузку памяти либо в файловую систему устройства, либо по сети.
Я обнаружил, что используется этот пример fmem , который кажется самым простым способом сбросить дамп памяти для целей анализа, вы больше не можете использовать / dev / mem после версии 2.6 .x ядра, насколько я понимаю.
Пример fmem
$ ./run.sh
...
----Memory areas: -----
reg00: base=0x000000000 ( 0MB), size= 1024MB, count=1: write-back
reg01: base=0x0c8800000 ( 3208MB), size= 2MB, count=1: write-combining
-----------------------
!!! Don't forget add "count=" to dd !!!
$ ls /dev/f*
/dev/fb0 /dev/fd0 /dev/fmem /dev/full /dev/fuse
$ sudo dd if=/dev/fmem of=/tmp/fmem_dump.dd bs=1MB count=10
10+0 records in
10+0 records out
10000000 bytes (10 MB) copied, 0.0331212 s, 302 MB/s
* Источник: Как я могу выгрузить всю физическую память в файл?
Пример LiME
Для анализа энергозависимой памяти есть также эта страница под названием: Анализ памяти Linux . В этом видеоуроке есть подробный пример, показывающий использование LiME и Volatility для сбора дампа памяти и последующего его анализа, извлекая историю Bash пользователя из дампа памяти.
Что еще?
Также есть ответы на вопросы U&L под названием Как я могу выгрузить полную системную память? , в которой есть дополнительные примеры и информация.
Проверяли ли вы настройки BIOS системы, относящиеся к управлению вентилятором? У меня была аналогичная проблема на ноутбуке HP, и мне удалось ее решить.