当内核遇到某些错误时,它会调用 “panic” 函数,这会导致不可恢复的错误。 这个 panic 会导致 LKCD 启动内核转储,将内核内存复制到预先指定的转储区域。 默认情况下,转储设备配置为主交换分区。 此时内核并非完全可用,但有足够的功能将内存复制到磁盘。 转储完成将内存复制到磁盘后,系统将重新启动。 当系统重新启动时,它会检查新的崩溃转储。 如果找到新的崩溃转储,则会将其从转储位置复制到文件系统,“/var/log/dump” 目录(默认为此目录)。 复制映像后,系统将继续正常启动,并且可以在以后执行取证分析。
lkcd-kernelxxx.diff用于修补内核的文件。 支持的内核版本会定期更改。lkcdutils-xx.src.rpm- 这是设置和读取崩溃转储所需的实用程序源和脚本。 在撰写本文时,可以从 lkcd.sourceforge.net 获得 i386 二进制 rpm,但您仍然需要来自源 rpm 的启动脚本补丁。