Dumpa minne från KVM
Från FriBID
Hoppa till navigeringHoppa till sök- Pausa den virtuella maskin som du vill dumpa minne från.
- Starta virsh.
virsh
- Anslut till libvirtd:
connect qemu:///system
- Starta virt-manager och ta reda på UUID för maskinen du vill dumpa.
- Dumpa minnet med följande kommando (byt ut UUID:en)
dump 1234abcd-1a2b-3c4d-e56f-123abc456def memdump.dump
- Följande steg behövs om man vill använda t.ex. Volatility
Lista sektioner med lqs2mem:lqs2mem -l memdump.dump
- Plocka ut RAM-sektionen:
lqs2mem -w pcram memdump.dump memdump.pcram
Det verkar även finnas en del verktyg för att arbeta med minnesdumpar:
- https://github.com/juergh/lqs2mem - konverterar LQS-dumpar från KVM till rådata
- https://code.google.com/p/vmitools/wiki/LibVMIIntroduction - för att jobba live mot en VM utan att skapa en dump.
- https://github.com/volatilityfoundation - verktyg för att plocka ut olika sorters information ur minnesdumpar. T.ex. ska man kunna dumpa processer.
