Dumpa minne från KVM

Från FriBID
Hoppa till: navigering, sök
  1. Pausa den virtuella maskin som du vill dumpa minne från.
  2. Starta virsh.
    virsh
  3. Anslut till libvirtd:
    connect qemu:///system
  4. Starta virt-manager och ta reda på UUID för maskinen du vill dumpa.
  5. Dumpa minnet med följande kommando (byt ut UUID:en)
    dump 1234abcd-1a2b-3c4d-e56f-123abc456def memdump.dump
  6. Följande steg behövs om man vill använda t.ex. Volatility
    Lista sektioner med lqs2mem:
    lqs2mem -l memdump.dump
  7. Plocka ut RAM-sektionen:
    lqs2mem -w pcram memdump.dump memdump.pcram

Det verkar även finnas en del verktyg för att arbeta med minnesdumpar: