Edwin,<div><br></div><div>If you read the intel manuals, swapping isn&#39;t actually terribly complicated.  You could conceivably implement swapping functionality into volatility (of course you&#39;d have to pass a swap file or partition as a parameter).  The problem that I for-see is that you might run into issues with smearing, since you&#39;re collecting memory from a running machine, but it might be worth the effort.<br>

<br><div class="gmail_quote">On Wed, Jun 19, 2013 at 9:13 AM, Edwin Smulders <span dir="ltr">&lt;<a href="mailto:edwin.smulders@gmail.com" target="_blank">edwin.smulders@gmail.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Ahh, that is really too bad, I was pretty sure I had enough memory,<br>
but I suppose swapping might occur at any moment, even with a good<br>
amount of free memory.<br>
Thanks for your answer, it&#39;s yet another issue I can include in my thesis :)<br>
<div class="HOEnZb"><div class="h5"><br>
On 19 June 2013 16:08, Michael Hale Ligh &lt;<a href="mailto:michael.hale@gmail.com">michael.hale@gmail.com</a>&gt; wrote:<br>
&gt; Hi Edwin,<br>
&gt;<br>
&gt; This is the effect of swapping. When you dump a vma region to disk, we<br>
&gt; zero-pad pages that are swapped to retain the original size and offsets in<br>
&gt; the vma region. You can call proc_as.is_valid_address(0x7faf9d9b0e9b) and if<br>
&gt; its False then the page containing that address is in the pagefile. You can<br>
&gt; also use proc_as.zread() instead of read() which will automatically zero-pad<br>
&gt; pages that are not memory resident.<br>
&gt;<br>
&gt; MHL<br>
&gt;<br>
&gt;<br>
&gt; On Wed, Jun 19, 2013 at 9:15 AM, Edwin Smulders &lt;<a href="mailto:edwin.smulders@gmail.com">edwin.smulders@gmail.com</a>&gt;<br>
&gt; wrote:<br>
&gt;&gt;<br>
&gt;&gt; Hi all,<br>
&gt;&gt;<br>
&gt;&gt; I am having a problem reading certain values in an address space. I<br>
&gt;&gt; know for certain that the range I am trying to read is mapped, i.e.<br>
&gt;&gt; there is a vma for it.<br>
&gt;&gt;<br>
&gt;&gt; The specific range in this case is shown in the vma list as this:<br>
&gt;&gt;<br>
&gt;&gt; 1206 0x00007faf9d98f000 0x00007faf9db4d000 r-x                   0x0<br>
&gt;&gt;    8      1        241 /lib/x86_64-linux-gnu/<a href="http://libc-2.17.so" target="_blank">libc-2.17.so</a><br>
&gt;&gt;<br>
&gt;&gt; The offset in this range that I am trying to read is 0x21e9b =<br>
&gt;&gt; 0x7faf9d9b0e9b<br>
&gt;&gt;<br>
&gt;&gt; the call may look like this: proc_as.read(0x7faf9d9b0e9b, 10)<br>
&gt;&gt; and it will return None, meaning it could not read that address.<br>
&gt;&gt;<br>
&gt;&gt; Using the linux_dump_map I exported the whole range and there&#39;s a<br>
&gt;&gt; pretty big empty (inaccessible) chunk in the middle, which appears as<br>
&gt;&gt; 0-bytes in the export. I know for a fact that my libc does not have a<br>
&gt;&gt; big area of 0-bytes, so this is pretty weird. It also works just fine<br>
&gt;&gt; for other processes in the same dump (so using the same libc).<br>
&gt;&gt;<br>
&gt;&gt; For research purposes I make my memory dumps with virtualbox, so I<br>
&gt;&gt; don&#39;t think it&#39;s an issue with memory corruption; as far as i can<br>
&gt;&gt; tell, virtualbox makes complete snapshots.<br>
&gt;&gt;<br>
&gt;&gt; Does anyone know what might cause this problem?<br>
&gt;&gt;<br>
&gt;&gt; Cheers,<br>
&gt;&gt; Edwin<br>
&gt;&gt; _______________________________________________<br>
&gt;&gt; Vol-users mailing list<br>
&gt;&gt; <a href="mailto:Vol-users@volatilityfoundation.org">Vol-users@volatilityfoundation.org</a><br>
&gt;&gt; <a href="http://lists.volatilityfoundation.org/mailman/listinfo/vol-users" target="_blank">http://lists.volatilityfoundation.org/mailman/listinfo/vol-users</a><br>
&gt;<br>
&gt;<br>
_______________________________________________<br>
Vol-users mailing list<br>
<a href="mailto:Vol-users@volatilityfoundation.org">Vol-users@volatilityfoundation.org</a><br>
<a href="http://lists.volatilityfoundation.org/mailman/listinfo/vol-users" target="_blank">http://lists.volatilityfoundation.org/mailman/listinfo/vol-users</a><br>
</div></div></blockquote></div><br></div>