Volatility를 사용하여 분석하기 위해 디스크 이미지에서 가져오고 싶은데 찾을 수 없습니다. (systemd-sleep.conf 파일에서 검색했지만 관련 지침이 없습니다.) 감사합니다!
답변1
여기(https://www.linuxupising.com/2021/08/how-to-enable-hibernation-on-ubuntu.html) 또는 여기(https://confluence.jaytaala.com/display/TKB/Use+a+swap+file+and+enable+hibernation+on+Arch+Linux+-+include+on+a+LUKS+root+partition...Systemd-hibernate를 사용하지 않지만 흥미롭습니다.) 이 질문에 대한 몇 가지 관련 답변이 있습니다.
참조 문서는 여기에 있습니다(https://www.kernel.org/doc/Documentation/power/swsusp-and-swap-files.txt)
감사해요
답변2
여기있어:
1.-루트 파티션에 스왑 파일을 만듭니다(적어도 컴퓨터 RAM만큼 큰 스왑 파일이 필요합니다).
sudo dd if=/dev/zero of=/swapfile bs=1M count=17408
sudo mkswap /swapfile
sudo chmod 600 /swapfile
2.-지속적인 활성화 교환
echo "/swapfile none swap defaults 0 0" | sudo tee -a /etc/fstab
sudo mount -a
삼.-스왑 파일이 있는 파티션의 UUID를 알아보세요. 이후 단계에서 필요합니다.
findmnt -no UUID -T /swapfile
4.-스왑 파일 오프셋을 찾으십시오. 이후 단계에서도 필요합니다.
sudo filefrag -v /swapfile
참고: 이 명령의 출력에서 "physical_offset" 열의 첫 번째 숫자 블록이 필요한 값입니다(숫자만 복사되고 숫자 블록 뒤의 지점은 복사되지 않음).
5.-편집하다/etc/default/grub"resume" 및 "resume offset" 커널 매개변수를 사용하여 부팅할 파일입니다. 이 파일에서 GRUB_CMDLINE_LINUX_DEFAULT 줄 끝의 "" 앞에 다음을 추가합니다. ( resume=UUID=UUID_FROM_STEP_3 resume_offset=SWAP_OFFSET_FROM_STEP_4이 값을 3단계에서 얻은 UUID와 4단계에서 얻은 스왑 복구 오프셋으로 바꿉니다.) 예를 들어 다음과 같습니다. 스왑 UUID 및 스왑 오프셋을 추가한 후 GRUB_CMDLINE_LINUX_DEFAULT 행의 모습: GRUB_CMDLINE_LINUX_DEFAULT="quiet Splashresume=UUID=4a59c6a7-ca54-4e24-a362-3eac83bfe226resume_offset=4974592"
5BIS.-..GRUB 구성을 업데이트합니다. Debian 기반 Linux 배포판에서 이 작업을 수행하려면 다음 명령을 실행하면 됩니다.
sudo update-grub
6.-만들기(또는 이미 있는 경우 편집)/etc/initramfs-tools/conf.d/resume스왑 UUID를 사용하고 오프셋을 복원하십시오(이것은 Debian 기반 Linux 배포판에서만 작동합니다... RedHat 배포판에서는 Dracut을 사용해야 합니다). 이 파일에 "RESUME"로 시작하는 줄이 있으면 해당 줄을 편집하고, 그러한 줄이 없거나 파일이 완전히 비어 있는 경우 다음과 같이 줄을 추가합니다.RESUME=UUID=UUID_FROM_STEP_3 resume_offset=SWAP_OFFSET_FROM_STEP_4
6BIS.-...다음 명령을 사용하여 initramfs를 다시 생성합니다.
sudo update-initramfs -c -k all
7.-컴퓨터를 다시 시작합니다. 다시 시작한 후 다음 명령을 사용하여 컴퓨터를 최대 절전 모드로 전환합니다.
sudo systemctl hibernate