原因有很多用户可能希望转储Linux服务器的物理内存,包括寻找密码字符串,替换或编辑核心文件或常用的流程,故障排除或做法医分析存储数据,或者仅仅知道的系统。

对于dd /dev/mem命令，这曾经是相当容易的，但是由于安全限制的增加，在新内核中不再提供直接访问选项，即使您是超级用户。

今天，在Linux下搜索内存的最佳方法是使用为此目的开发的工具。这里有六个值得一看的好地方。

LiME (Linux内存提取器)

曾经被称为DMD，这是一个可加载的内核模块，它是唯一可用的工具之一，可以让您转储从Android设备和Linux机器捕获的全部内存。它允许您直接将内存转储到设备的文件系统或通过网络，这一点值得注意，因为它基本上不需要用户交互，这意味着内存捕获比使用其他工具更准确。

Volatilitux

Linux版的流行Windows挥发性工具，挥发性tux是灵活和有用的。它允许您转储RAM，以及检查和提取进程的打开文件。您还能够自动检测内核结构(尽管在某些转储上不能可靠地工作，在这种情况下，您可以创建一个配置文件，其中包含关于内存布局的信息)。还有一个原因值得一看:它支持ARM架构的设备转储，比如智能手机。

Second Look

如果您正在寻找一个专业的或企业的(且昂贵的)解决方案，它是Linux的一个强大的取证工具，那么第二次查看是值得的。这个工具不仅仅是一种转储和搜索内存的简单方法，它还包括许多分析工具，甚至可以帮助防止入侵的主动警报功能。但是，它还提供了在本地或通过网络可靠地转储内存的能力，几百个内核的PMAD模块覆盖了所有常见的Linux发行版。

Draugr

它以挪威神话中的一种不死生物命名，是最早为Linux内存分析开发的工具之一。它只允许您列出进程并搜索和提取系统内存的特定区域，但对于这些目的仍然有效。Draugr的开发已经停止一段时间了。

Memdump

如果您不需要一个优雅的解决方案，Memdump很简单，而且切中要点。Memdump是IBM公共许可证免费软件，它只是将物理内存转储到正常的输出流，同时跳过内存映射中的任何漏洞。