Primeiro, obtenha o ID do processo para o sshd, por ex. com
ps eax | grep sshd | fgrep -v grep | cut -f 2 -d ' '
Use então como pid para ver o mapa do processo:
cat /proc/<pid_you_found>/maps
Em seguida, conecte-se com gdb ao intervalo de memória de seu interesse e dump (para arquivar)
gdb --pid pid_you_found
(gdb) dump memory file_name startaddr endaddr
Você pode analisar as sequências no file_name.
(Eu uso um script python para a parte gdb repetidamente em todos os intervalos de memória e escrevo a saída para um arquivo.)