3일 전에 실행된 프로세스(Linux)의 힙 메모리를 어떻게 찾을 수 있습니까? 아무데나 저장되나요? 우연한
답변1
프로세스가 종료되면 해당 프로세스의 메모리도 사라집니다. 더 이상 해당 내용을 찾을 수 없습니다.
이 프로세스의 일부 흔적은 남아 있습니다. Linux는 대부분의 운영 체제와 마찬가지로 메모리 페이지가 해제될 때가 아니라 할당될 때 삭제됩니다. 즉, 커널이 프로세스에서 페이지를 회수할 때가 아니라 커널이 프로세스에 페이지를 제공하기 전에 페이지가 지워집니다. 따라서 RAM에 대한 포렌식 조사(액세스 /dev/mem(물론 루트 필요) 또는 직접 하드웨어 액세스를 통해)를 통해 종료된 프로세스의 데이터가 드러납니다.
그러나 이러한 페이지를 함께 연결하는 것(함께 배열하는 방법을 알아내는 것)은 매우 어렵습니다. 또한 3일 후에는 이러한 페이지의 대부분이 재사용될 수 있습니다.
찾고 싶다면수량이제 종료된 프로세스에서 사용하는 메모리(예: 힙 소비 검색)는 기본적으로나 일반적인 감사 프레임워크를 사용하여 어디에도 기록되지 않습니다. 특별히 흥미로운 정보로 간주되지는 않습니다. 감사 프레임워크는 성과 추적보다는 주로 보안과 책임에 중점을 두는 경우가 많습니다.