Analyse d'un kernel (kdump)

apt install crash ddb binutils

Lors d'un crash, les informations sont conservés dans ce dossier /var/crash/

Pour lire le fichier en question:

crash kernel_link vmcore <fichier.crash>

• Lister les modules du kernel :

crash > med

• Etat de la mémoire :

crash > kmem -i

• information sur le responsable du crash (du moins par quel instruction processeur celà à été causé) :

crash > bt <backtrace>

• Désassembler une fonction :

crash > dis <fonction>

• Montrer l'emplacement du fichier qui inclue la fonction :

crash > syn <id>

• Arborescence de la commande père :

crash > ps -p <pid>

• Information sur la commande executé :

crash > ps -a <pid>