Что такое физическая память компьютера

Обновлено: 22.11.2024

Физическая и виртуальная память — это формы памяти (внутреннее хранилище данных). Физическая память существует на микросхемах (оперативная память) и на запоминающих устройствах, таких как жесткие диски. Прежде чем процесс может быть выполнен, он должен сначала загрузиться в физическую память RAM (также называемую основной памятью).

Виртуальная память — это процесс, посредством которого данные (например, программный код) могут быстро обмениваться между местами хранения в физической памяти и оперативной памятью. Быстрый обмен данными является плавным и прозрачным для пользователя. Использование виртуальной памяти позволяет использовать более крупные программы и позволяет этим программам работать быстрее.

В современных операционных системах возможен постоянный обмен данными между жестким диском и оперативной памятью через виртуальную память. Процесс подкачки используется для обмена данными через виртуальную память. Использование виртуальной памяти создает впечатление, что компьютер имеет больший объем ОЗУ, потому что виртуальная память позволяет эмулировать передачу целых блоков данных, обеспечивая плавную и эффективную работу программ. Вместо того, чтобы пытаться поместить данные в часто ограниченную энергозависимую оперативную память, данные фактически записываются на жесткий диск. Соответственно, размер виртуальной памяти ограничен только размером жесткого диска, либо пространством, отведенным под виртуальную память на жестком диске. Когда информация требуется в ОЗУ, система обмена быстро обменивает блоки памяти (также часто называемые страницами памяти) между ОЗУ и жестким диском.

Современные системы виртуальной памяти заменяют более ранние формы физического обмена файлами и фрагментации программ.

В некотором смысле виртуальная память — это специализированный вторичный тип хранилища данных, а часть жесткого диска предназначена для хранения специализированных файлов виртуальной памяти (также называемых страницами). Область жесткого диска, предназначенная для хранения блоков данных, подлежащих обмену через интерфейс виртуальной памяти, называется файлом подкачки. В большинстве операционных систем существует предустановленный размер области файла подкачки на жестком диске, и файлы подкачки могут существовать на нескольких дисках. Однако пользователи большинства современных операционных систем могут изменять размер файла подкачки в соответствии с конкретными требованиями к производительности. Как и в случае с размером файла подкачки, хотя фактический размер страниц задан заранее, современные операционные системы обычно позволяют пользователю изменять размер страницы. Страницы виртуальной памяти имеют размер от тысячи байтов до многих мегабайт.

Использование виртуальной памяти позволяет размещать весь блок данных или программы (например, процесс приложения) в виртуальной памяти, в то время как в физической памяти находится только часть исполняемого кода. Соответственно, использование виртуальной памяти позволяет операционным системам запускать множество программ и, таким образом, повышает степень многозадачности в операционной системе.

Интеграция виртуальной памяти осуществляется либо с помощью процесса, называемого сегментацией по требованию, либо с помощью другого процесса, называемого пейджингом по требованию. Пейджинг по требованию более распространен, потому что он проще по дизайну. Процессы виртуальной памяти с подкачкой по запросу не передают данные с диска в ОЗУ, пока программа не вызовет страницу. Существуют также упреждающие процессы подкачки, используемые операционными системами, которые пытаются читать вперед и выполнять передачу данных до того, как данные действительно потребуются в ОЗУ. После выгрузки данных процессы подкачки отслеживают использование памяти и постоянно вызывают данные между ОЗУ и жестким диском. Состояния страниц (действительные или недействительные, доступные или недоступные для ЦП) регистрируются в таблице виртуальных страниц. Когда приложения пытаются получить доступ к недопустимым страницам, диспетчер виртуальной памяти, который инициирует подкачку памяти, перехватывает сообщение об ошибке страницы. Быстрое преобразование виртуальных адресов в реальный физический адрес осуществляется с помощью процесса, называемого сопоставлением. Отображение является важной концепцией процесса виртуальной памяти. Отображение виртуальной памяти работает путем связывания реальных аппаратных адресов (адреса физического хранилища) для блока или страницы хранимых данных с виртуальным адресом, поддерживаемым процессом виртуальной памяти. Реестр виртуальных адресов позволяет осуществлять выборочную и рандомизированную трансляцию данных с дисков для последовательного чтения. По сути, процессы виртуальной памяти предоставляют альтернативные адреса памяти для данных, и программы могут быстро использовать данные, используя эти виртуальные адреса вместо физического адреса страницы данных.

Виртуальная память является частью многих операционных систем, включая Windows, но не является функцией DOS. В дополнение к увеличению скорости выполнения и операционного размера программ (строк кода) использование систем виртуальной памяти дает ценный экономический эффект. Память на жестком диске в настоящее время намного дешевле, чем оперативная память. Соответственно, использование виртуальной памяти позволяет проектировать высокопроизводительные вычислительные системы при относительно низких затратах.

Несмотря на то, что подкачки страниц данных (определенной длины данных или тактовых импульсов данных) посредством подкачки виртуальной памяти между жестким диском и оперативной памятью выполняются очень быстро, чрезмерная зависимость от подкачки виртуальной памяти может снизить общую производительность системы. Если объем жесткого диска, выделенного для хранения файлов подкачки, недостаточен для удовлетворения требований системы, которая в значительной степени зависит от обмена данными через виртуальную память, пользователи могут получать сообщения «НЕДОСТАТОЧНО ПАМЯТИ» и ошибки, даже хотя у них много неиспользуемого места на жестком диске.

К началу 2003 г. персональные компьютеры с объемом ОЗУ 1024 МБ (1 мегабайт = 1 000 000 байт) были широко доступны в Соединенных Штатах, а персональные компьютеры многих марок имели емкость жесткого диска 60 ГБ (1 гигабайт равен 1 миллиарду байтов). байт). Относительные пределы как емкости жесткого диска, так и емкости оперативной памяти неуклонно улучшаются с развитием технологии микрочипов.

Физическая и виртуальная память — это формы памяти (внутреннее хранилище данных). Физическая память существует на микросхемах (оперативная память) и на запоминающих устройствах, таких как жесткие диски. Прежде чем процесс может быть выполнен, он должен сначала загрузиться в физическую память RAM (также называемую основной памятью).

Виртуальная память — это процесс, посредством которого данные (например, программный код) могут быстро обмениваться между местами хранения в физической памяти и оперативной памятью. Быстрый обмен данными является плавным и прозрачным для пользователя. Использование виртуальной памяти позволяет использовать более крупные программы и позволяет этим программам работать быстрее.

В современных операционных системах возможен постоянный обмен данными между жестким диском и оперативной памятью через виртуальную память. Процесс подкачки используется для обмена данными через виртуальную память. Использование виртуальной памяти создает впечатление, что компьютер имеет больший объем ОЗУ, потому что виртуальная память позволяет эмулировать передачу целых блоков данных, обеспечивая плавную и эффективную работу программ. Вместо того, чтобы пытаться поместить данные в часто ограниченную энергозависимую оперативную память, данные фактически записываются на жесткий диск. Соответственно, размер виртуальной памяти ограничен только размером жесткого диска, либо пространством, отведенным под виртуальную память на жестком диске. Когда информация требуется в ОЗУ, система обмена быстро обменивает блоки памяти (также часто называемые страницами памяти) между ОЗУ и жестким диском.

Современные системы виртуальной памяти заменяют более ранние формы физического обмена файлами и фрагментации программ.

В некотором смысле виртуальная память — это специализированный вторичный тип хранилища данных, а часть жесткого диска предназначена для хранения специализированных файлов виртуальной памяти (также называемых страницами). Область жесткого диска, предназначенная для хранения блоков данных, подлежащих обмену через интерфейс виртуальной памяти, называется файлом подкачки. В большинстве операционных систем существует предустановленный размер области файла подкачки на жестком диске, и файлы подкачки могут существовать на нескольких дисках. Однако пользователи большинства современных операционных систем могут изменять размер файла подкачки в соответствии с конкретными требованиями к производительности. Как и в случае с размером файла подкачки, хотя фактический размер страниц задан заранее, современные операционные системы обычно позволяют пользователю изменять размер страницы. Страницы виртуальной памяти имеют размер от тысячи байтов до многих мегабайт.

Использование виртуальной памяти позволяет размещать весь блок данных или программы (например, процесс приложения) в виртуальной памяти, в то время как в физической памяти находится только часть исполняемого кода. Соответственно, использование виртуальной памяти позволяет операционным системам запускать множество программ и, таким образом, повышает степень многозадачности в операционной системе.

Интеграция виртуальной памяти осуществляется либо с помощью процесса, называемого сегментацией по требованию, либо с помощью другого процесса, называемого пейджингом по требованию. Пейджинг по требованию более распространен, потому что он проще по дизайну. Процессы виртуальной памяти с подкачкой по запросу не передают данные с диска в ОЗУ, пока программа не вызовет страницу. Существуют также упреждающие процессы подкачки, используемые операционными системами, которые пытаются читать вперед и выполнять передачу данных до того, как данные действительно потребуются в ОЗУ. После выгрузки данных процессы подкачки отслеживают использование памяти и постоянно вызывают данные между ОЗУ и жестким диском. Состояния страниц (действительные или недействительные, доступные или недоступные для ЦП) регистрируются в таблице виртуальных страниц. Когда приложения пытаются получить доступ к недопустимым страницам, диспетчер виртуальной памяти, который инициирует подкачку памяти, перехватывает сообщение об ошибке страницы. Быстрое преобразование виртуальных адресов в реальный физический адрес осуществляется с помощью процесса, называемого сопоставлением. Отображение является важной концепцией процесса виртуальной памяти. Отображение виртуальной памяти работает путем связывания реальных аппаратных адресов (адреса физического хранилища) для блока или страницы хранимых данных с виртуальным адресом, поддерживаемым процессом виртуальной памяти.Реестр виртуальных адресов позволяет осуществлять выборочную и рандомизированную трансляцию данных с дисков для последовательного чтения. По сути, процессы виртуальной памяти предоставляют альтернативные адреса памяти для данных, и программы могут быстро использовать данные, используя эти виртуальные адреса вместо физического адреса страницы данных.

Виртуальная память является частью многих операционных систем, включая Windows, но не является функцией DOS. В дополнение к увеличению скорости выполнения и операционного размера программ (строк кода) использование систем виртуальной памяти дает ценный экономический эффект. Память на жестком диске в настоящее время намного дешевле, чем оперативная память. Соответственно, использование виртуальной памяти позволяет проектировать высокопроизводительные вычислительные системы при относительно низких затратах.

Несмотря на то, что подкачки страниц данных (определенной длины данных или тактовых импульсов данных) посредством подкачки виртуальной памяти между жестким диском и оперативной памятью выполняются очень быстро, чрезмерная зависимость от подкачки виртуальной памяти может снизить общую производительность системы. Если объем жесткого диска, выделенного для хранения файлов подкачки, недостаточен для удовлетворения требований системы, которая в значительной степени зависит от обмена данными через виртуальную память, пользователи могут получать сообщения «НЕДОСТАТОЧНО ПАМЯТИ» и ошибки, даже хотя у них много неиспользуемого места на жестком диске.

К началу 2003 г. персональные компьютеры с объемом ОЗУ 1024 МБ (1 мегабайт = 1 000 000 байт) были широко доступны в Соединенных Штатах, а персональные компьютеры многих марок имели емкость жесткого диска 60 ГБ (1 гигабайт равен 1 миллиарду байтов). байт). Относительные пределы как емкости жесткого диска, так и емкости оперативной памяти неуклонно улучшаются с развитием технологии микрочипов.

Физическая память связана с логической памятью. Это относится к получению пространства памяти с помощью физической карты памяти, в то время как логическая память означает использование области жесткого диска в качестве памяти. Основная роль памяти заключается в обеспечении временного хранения операционной системы и различных программ во время работы компьютера.

Обычные технические характеристики физической памяти: 256 М, 512 М, 1 ГБ, 2 ГБ и т. д. С развитием компьютерного оборудования появились спецификации для хранения данных 4G, 8G и даже большей емкости. Виртуальная память может использоваться для замены физической памяти, когда ее недостаточно. В приложении физическая память — это буквально размер карты памяти, вставленной в слот памяти на материнской плате. При проверке конфигурации компьютера мы в основном должны обращать внимание на физическую память.

Концепция

Описание в приложении

Физическая память — один из самых важных ресурсов компьютера. Диспетчер памяти Windows отвечает за выделение памяти операционному процессу, драйверу устройства и операционной системе. Поскольку объем данных и кода, посещаемых большинством систем, намного больше, чем объем физической памяти, по сути, физическая память — это окно, в котором выполняются код и данные. Таким образом, объем памяти влияет на производительность, потому что если код или данные, необходимые для процесса или операционной системы, не существуют, диспетчер памяти должен считать их с диска.

Рекомендация: вас может заинтересовать этот пост: Как исправить: 100% использование диска в диспетчере задач Windows 10.

Описание в CPU

Физическая память — это пространство памяти, в котором адресные строки ЦП могут искать напрямую. Например, 8086 имеет только 20 адресных строк, таким образом, адресное пространство составляет 1 МБ. И мы можем сказать, что 8086 может поддерживать 1 МБ физической памяти. Хотя на материнской плате установлена ​​карта памяти объемом 128 МБ, 8086 имеет 1 МБ физической памяти. Точно так же 32-разрядный ЦП старше 386 может поддерживать максимальный объем физической памяти 4 ГБ.

Разница между виртуальной памятью и физической памятью: в отличие от физической памяти, виртуальная память — это пространство памяти, которое необходимо получить с жесткого диска практически в соответствии с системными требованиями. Это технология управления памятью компьютерной системы, которая принадлежит компьютерной программе. В то время как физическая память является аппаратной. Когда вы имеете дело с большой программой, иногда может не хватать системной памяти. Затем жесткий диск будет иногда использоваться как память для обмена данными и в качестве области кэша. Но скорость обработки физической памяти более чем в 30 раз выше, чем у виртуальной памяти.

Ограничения памяти

В 64-разрядном клиенте Windows разные SKU поддерживают разный объем памяти. Поддержка памяти в Windows XP Starter самая низкая, всего 512 МБ; в то время как поддержка памяти Windows Vista Ultimate является самой высокой, до 128 ГБ. Но все версии 32-разрядных клиентов Windows, включая Windows Vista, Windows XP и Windows 2000 Professional, поддерживают не более 4 ГБ физической памяти.Стандартный режим управления памятью X86 может поддерживать посещение физических адресов до 4 ГБ. Раньше людям не нужно было думать, когда поддержка клиентов превышает 4 ГБ. Это связано с тем, что немногие компьютеры имеют такой большой объем памяти, даже серверы.

Однако в процессе разработки Windows XP SP2 можно предусмотреть, что компьютер будет оснащен памятью более 4 ГБ. Итак, группа продуктов Windows провела множество тестов на компьютере с Windows XP объемом более 4 ГБ. Windows XP SP2 также поддерживает функцию расширения физического адреса (PAE), которая должна реализовать аппаратную защиту от неисполнения (NE), поскольку это необходимое условие для выполнения данных. предотвращение (DEP). И эта функция также поддерживает память более 4 ГБ.

Инженеры группы продуктов Windows обнаружили, что многие тестовые компьютеры могут аварийно завершать работу, зависать или не запускаться из-за некоторых драйверов устройств. Основная причина - видеокарта или звуковая карта на клиентском компьютере (не на сервере), а ситуация с памятью более 4 ГБ не учитывалась при написании драйвера устройства. Следовательно, эти драйверы устройств будут обрезать эту часть адреса, что приведет к конфликтам памяти и другим побочным эффектам. Однако сервер часто оснащен более традиционным оборудованием, а драйвер устройства более простым и стабильным. Это потому, что у нас мало шансов столкнуться с такими проблемами. Поскольку драйвер клиентского устройства имеет эти проблемы, SKU клиента Windows вынужден игнорировать физическую память, размер которой превышает 4 ГБ, даже если теоретически это можно решить.

Присоединяйтесь к эксклюзивам

Свяжитесь с нами, чтобы получать подарки, эксклюзивные акции и последние новости!

Физическая память (также известная как оперативная память (ОЗУ)) – это форма очень быстрого, но нестабильного хранилища данных. Модули оперативной памяти обычно измеряются в наносекундах (1000–3), а физические диски обычно измеряются в миллисекундах (1000–1). Это делает физическую память примерно в 100 000 раз быстрее, чем обычный физический диск. Поэтому, когда это возможно, Windows и Windows Server сохраняют наиболее часто используемые страницы памяти в физической памяти и используют диск только в случае необходимости.

Когда в системе недостаточно физической памяти, это часто приводит к общесистемным задержкам или, в крайних случаях, к полному зависанию системы. В этой главе рассказывается, как операционная система управляет физической памятью, как определить условия нехватки памяти и как смягчить эти условия.

Файлы страниц

При желании уменьшить объем физической памяти

Физическая память (модули ОЗУ) потребляет значительное количество электроэнергии, поэтому уменьшение объема физической памяти может помочь сэкономить на электроэнергии и/или использовать ОЗУ для других систем, которым она нужна больше. Лучший способ определить, не используется ли какая-либо часть физической памяти для какого-либо использования, — это посмотреть, сколько памяти «свободно» — не путать с «доступной» памятью. Свободная память — это сумма списка свободных страниц и списка нулевых страниц. Список свободных страниц — это список страниц физической памяти, которые необходимо очистить (все нули записаны на страницу), а список нулевых страниц — список уже очищенных страниц физической памяти. Проще говоря, чем больше свободной памяти, тем больше ее можно удалить без последствий для производительности системы.

Свободная память и нулевая память могут быть измерены с помощью вкладки "Память" в мониторе ресурсов, с помощью счетчика производительности \Memory\Free & Zero Page List Bytes или с помощью свободных и обнуленных полей на вкладке "Память" в окне "Информация о системе". в обозревателе процессов Sysinternals.

Реакция на инцидент

Джо Фичера, Стивен Болт, Анализ сетевых вторжений, 2013 г.

Введение

Физическое приобретение или память — это область, которая в течение многих лет была источником споров. Аргумент в сообществе проистекает из юридической практики не изменять исходные доказательства. Работа профессионального юриста заключается в том, чтобы посеять сомнения в умах присяжных и выявить ошибки лиц, ответственных за любое расследование.

При сборе цифровых доказательств, так называемом реагировании на инциденты, парадигма сбора изменилась в связи с потребностью рынка в большем объеме оперативной памяти. Учитывая, что большинство готовых систем имеют более 4 гигабайт ОЗУ, любой аварийно-спасательный служащий не выполнил бы своих обязанностей, если бы не попытался собрать энергозависимые данные и память ОЗУ из работающей системы. Это необходимый шаг с учетом объема данных, которые могут храниться в оперативной памяти, но он в определенной степени изменяет исходные доказательства. Учитывая, что задача аварийно-спасательных служб состоит в том, чтобы получить наиболее точное представление о системе, на которую они реагируют, они должны применять определенные приложения, чтобы получить так называемый «мгновенный снимок» системы.

Объем приложения для реагирования вызывает серьезную озабоченность, и его следует постоянно проверять и документировать.Под размером понимается объем оперативной памяти, который используется при запуске приложения в системе. Этот набор данных следует просмотреть и протестировать на тестовой системе, а тестирование следует проводить на нескольких версиях систем Windows, таких как Windows XP, Vista и Win 7, 32- и 64-разрядных версиях. Конечная цель состоит в том, чтобы иметь четкий набор доверенных инструментов, которые работают в системе, и знать, каков их след в системе, чтобы респондент, а затем и аналитик могли говорить о количестве данных, которые были перезаписаны в попытке для сбора доказательств в соответствии с порядком изменчивости, то есть порядком, в котором наборы данных перемещаются от наиболее изменчивых к наименее.

Приобретение данных в сети всегда вызывает беспокойство, учитывая возможности современных сетей. Традиционно специалист по реагированию на инциденты и судебный аналитик были ограничены физическим захватом из-за отсутствия подходящих или криминалистически обоснованных приложений, которые облегчили бы захват сети.

Права и разрешения — это проблема в сети, и существует множество соображений. Windows 7 и 64-разрядная операционная система предоставляют новые меры безопасности, которые могут помешать респонденту запустить свои инструменты и собрать соответствующие наборы данных. Это одна из причин, по которой респонденты должны иметь более высокие привилегии, чем обычные пользователи, и должны, в случае внешних консультантов; работать рука об руку с сетевыми администраторами столько, сколько они могут. Например, UAC или контроль аутентификации пользователей в Windows 7 предотвращает выполнение приложений с повышенными привилегиями, которые необходимы для сбора определенных наборов данных.

В этом разделе основное внимание будет уделено нескольким приложениям, которые можно использовать для получения энергозависимой памяти из скомпрометированной системы. Некоторые из этих приложений также можно использовать для анализа полученной информации. Сбор и анализ изменчивых данных — это быстро развивающаяся область, и поэтому следующие приложения не следует считать всеобъемлющими.

Анализ образца вредоносного ПО

Кэмерон Х. Малин, . Джеймс М. Акилина, Полевое руководство по криминалистике вредоносных программ для систем Windows, 2012 г.

Артефакты физической памяти

► Физическая память может содержать широкий спектр цифровых оттисков и следов, включая вредоносные исполняемые файлы, связанные с системой структуры данных и остатки вредоносных событий. В рамках реконструкции событий цели анализа памяти включают:

Сбор доступных метаданных, включая сведения о процессах, сетевых подключениях и другую информацию, связанную с образцом вредоносного ПО, для анализа и сравнения с другими цифровыми отпечатками и следами, обнаруженными в зараженной лабораторной системе.

Выполняйте поиск по ключевым словам для любых конкретных известных деталей, относящихся к проверенному образцу вредоносного ПО.

Ищите распространенные индикаторы вредоносного кода, включая внедрение памяти и перехваты (см. рис. 6.52, на котором показано обнаружение внедрения процесса в explorer.exe во время выполнения образца троянской криминальной программы).

Рисунок 6.52. Внедрение процесса обнаружено с помощью функции Responder Professional Digital DNA

Для каждого интересующего процесса восстановите исполняемый код из памяти для дальнейшего анализа.

Для каждого интересующего процесса извлеките связанные данные из памяти, включая соответствующие ключи шифрования и захваченные данные, такие как имена пользователей и пароли.

Извлечение контекстных сведений, таких как URL-адреса, записи MFT и значения реестра, относящиеся к установке и действиям, связанным с вредоносным кодом.

Выполнять временной и реляционный анализ информации, извлеченной из памяти, включая временную шкалу событий и диаграмму дерева процессов.

Анализ образца вредоносного ПО

Кэмерон Х. Малин, . Джеймс М. Акилина, Полевое руководство по криминалистике вредоносных программ для систем Linux, 2014 г.

Артефакты физической памяти

▸ Физическая память может содержать широкий спектр цифровых оттисков и следов, включая вредоносные исполняемые файлы, связанные с системой структуры данных и остатки вредоносных событий. В рамках реконструкции событий цели анализа памяти заключаются в следующем:

Собирать доступные метаданные, включая сведения о процессах, сетевых подключениях и другую информацию, связанную с образцом вредоносного ПО, для анализа и сравнения с другими цифровыми отпечатками и следами, обнаруженными в лабораторной системе зараженной жертвы.

Выполняйте поиск по ключевым словам для любых конкретных известных деталей, относящихся к проверенному образцу вредоносного ПО.

Ищите распространенные индикаторы вредоносного кода, включая внедрение в память и перехваты; (см. рис. 6.72, на котором изображен образец руткита Jynx и трассировка, идентифицированная в SecondLook). 108

РИСУНОК 6.72.SecondLook обнаруживает следы и доказательства, связанные с руткитом Jynx, захваченные в физической памяти

Для каждого интересующего процесса восстановите исполняемый код из памяти для дальнейшего анализа.

Для каждого интересующего процесса извлеките связанные данные из памяти, включая соответствующие ключи шифрования и захваченные данные, такие как имена пользователей и пароли.

Извлечение контекстных сведений, таких как URL-адреса, относящиеся к установке и действиям, связанным с вредоносным кодом.

Выполнять временной и реляционный анализ информации, извлеченной из памяти, включая временную шкалу событий и диаграмму дерева процессов.

Реакция на инцидент с вредоносным ПО

Кэмерон Х. Малин, . Джеймс М. Акилина, Полевое руководство по криминалистике вредоносных программ для систем Linux, 2014 г.

Документирование содержимого файла /proc/meminfo

▶ После сбора физической памяти соберите подробную информацию о состоянии и использовании памяти.

Вспомните, что каталог /proc содержит виртуальную файловую систему с файлами, представляющими текущее состояние ядра.

Для документальных целей соберите информацию о памяти, хранящейся в файле /proc/meminfo, как показано на рис. 1.8. Эта информация также может быть полезна для определения того, поместится ли объем памяти на доступном съемном носителе информации, когда он будет получен в качестве доказательства. Выяснить заранее, что требуется носитель большего размера, лучше, чем нехватка места в процессе приобретения.

РИСУНОК 1.8. Изучение содержимого /proc/meminfo

Совет по анализу

Другие области памяти

Существуют и другие типы ОЗУ на компьютерах, например память на видеокартах, которые в будущем могут использовать вредоносные программы. Также можно заменить прошивку в системе Linux. Однако не делайте поспешных выводов, что злоумышленники используют такие области только потому, что они восстанавливают доступ к системе после ее форматирования и восстановления с оригинального установочного носителя. Сначала следует рассмотреть более простые и вероятные объяснения. Хотя захват этих областей не является обязательным в большинстве инцидентов с вредоносным ПО, об этом стоит подумать.

Вопросы расследования

При получении содержимого ОЗУ тщательно документируйте и сравнивайте объем данных, сообщаемых различными утилитами.

Криминалистика памяти Linux находится на ранних стадиях разработки, и некоторые аспекты этой дисциплины все еще требуют дальнейшего изучения. Поэтому специалисты по цифровым исследованиям должны быть начеку при получении изменчивых данных, чтобы при возникновении аномалий можно было принять незамедлительные меры.

Начните здесь

Если на консоли/рабочем столе одной системы

Если вы вошли в систему с правами администратора (требуются почти для каждого шага по устранению неполадок в этой книге), тогда Диспетчер задач и Монитор ресурсов станут отличными инструментами для начала просто потому, что они встроены в операционную систему.

Диспетчер задач можно быстро открыть, нажав одновременно клавиши Ctrl+Shift+Esc. Перейдите на вкладку «Производительность» и определите, какой ресурс перегружен. Монитор ресурсов можно запустить, щелкнув ссылку Монитор ресурсов на вкладке "Производительность" диспетчера задач.

Если ЦП занят, перейдите к разделу «Определение высокой загрузки ЦП с помощью диспетчера задач» в Главе 10 «Процессор». Использование ЦП (синоним термина «процессор» в контексте этой книги) считается загруженным, если оно поддерживает значение, близкое к 100 %.

Если доступной физической памяти (ОЗУ) мало, перейдите к разделу «Определение состояния нехватки доступной физической памяти с помощью диспетчера задач» в Главе 8 «Физическая память». Использование памяти относится к проценту используемой физической памяти (ОЗУ). Устойчивое значение выше 75 % (доступно 25 %) считается высоким.

Имейте в виду, что физическая память — это лишь один из нескольких связанных с памятью ресурсов, которые могут исчерпаться в системе:

Перейдите к разделу «Выявление проблем с виртуальным адресным пространством приложения с помощью системного монитора и журнала событий приложения» в главе 4 «Память процесса», чтобы узнать больше о виртуальном адресном пространстве процесса.

Перейдите к разделу "Мониторинг выделенной системой памяти с помощью диспетчера задач" в главе 6 "Память, выделенная системой", чтобы узнать больше о выделенной системой памяти.

Перейдите к разделу «Исходные индикаторы пула выгружаемой и невыгружаемой памяти ядра» в главе 5 «Память ядра», чтобы узнать больше о свободных записях таблицы системных страниц (PTE), выгружаемой в пул памяти ядра и пуле невыгружаемой памяти ядра.< /p>

Если диск занят, перейдите к разделу «Анализ диска с помощью диспетчера задач и монитора ресурсов» главы 3 «Хранилище». Диск доступен в Windows 8 и 8.1 по умолчанию для каждого фиксированного диска. Используйте «diskperf –y» в командной строке администратора, чтобы диск отображался в диспетчере задач в Windows Server 2012 и Windows Server 2012 R2, но имейте в виду, что данные о производительности диска в диспетчере задач могут быть ресурсоемкими.Занятый диск — это диск, время активности которого близко к 100 % с относительно высоким средним временем отклика. Имейте в виду, что поле среднего времени отклика в диспетчере задач обычно намного выше фактического среднего времени отклика диска. Счетчик производительности \LogicalDisk(*)\Avg. Disk sec/Transfer более надежен.

Если Ethernet (сеть) занят, перейдите к разделу «Мониторинг использования сети с помощью диспетчера задач» в Главе 9 «Сеть». Каждый проводной и беспроводной сетевой интерфейс должен отображаться в диспетчере задач. Диспетчер задач показывает только общую пропускную способность каждого сетевого интерфейса и не показывает задержки в сети. Задержки в сети часто вызывают задержку приложений или служб из-за ожидания сетевых ресурсов. Задержки подключения TCP/IP (задержка (мс)) можно увидеть в мониторе ресурсов Microsoft на панели TCP-подключения на вкладке «Сеть».

Читайте также: