我正在寻找一种方法,在Docker容器中执行内存转储以进行内存取证(例如检测恶意软件利用)。我希望能够执行与虚拟机上相同的方法。问题在于,Docker容器(以及任何类型的Linux容器)以不同的方式使用内存-容器共享资源,使用命名空间和cgroups...我想编写一个执行此操作的工具,但不知道从哪里开始。如何解决这个问题?提前感谢!
这些天你可以使用实验性的Docker功能检查点和恢复:https://github.com/boucher/docker/blob/cr-combined/experimental/checkpoint_restore.md。有一个可用的教程在https://criu.org/Docker。