話說工欲善其事必先利其器,當你對Linux/Unix服務器內存進行轉儲時�����,手邊需要有得力的工具。國外媒體盤點了八款Linux/Unix服務器內存監(jiān)控工具����。一起來看看。
LiME(Linux Memory Extractor)
LiME(之前叫DMD)是一種可加載內核模塊(Loadable Kernel Module�����,LKM)����,可獲得Linux和Linux設備中的易失性存儲器。該工具支持從設備中的文件系統(tǒng)或者從網(wǎng)絡中獲取內存��。LiME是第一個可以從Android設備捕捉完整內存的工具���,在抓取過程中減少了將用戶和內核空間進程之間的互動��。
LiME下載地址:https://code.google.com/p/lime-forensics/downloads/list
Draugr
使用/dev/(k)mem或者信息轉儲���,Draugr可通過python語言訪問、讀寫、搜索內存�。還可以通過不同方式找到系統(tǒng)信息。另外����,還可以找到內核符號(XML文件或EXPORT_SYMBOL)、進程���,以及反匯編和轉儲內存���。
Draugr下載地址:https://code.google.com/p/draugr/downloads/list
Volatilitux
對Linux系統(tǒng)來說,Volatilitux相當于Volatility��。Volatilitux支持以下物理內存轉儲架構:
* ARM
* x86
* 支持PAE的x86
支持以下命令:
* pslist: 打印所有進程列表
* memmap: 打印一個進程的內存映射
* memdmp: 轉儲進程的可尋址內存
* filelist: 對于一個給定的進程�����,打印所有的開啟文檔
* filedmp: 轉儲開啟文檔
Volatilitux下載地址:https://code.google.com/p/volatilitux/downloads/list
Memfetch
這是一款簡單的工具���,可將運行中的進程的所有內存進行轉儲���,或者在發(fā)現(xiàn)故障狀態(tài)時進行轉儲。安裝Memfetch代碼:
## FreeBSD ##
pkg_add -r -v memfetch
## other *nix user download it from the following url ##
wget https://lcamtuf.coredump.cx/soft/memfetch.tgz
tar xvf memfetch.tgz
cd memfetch && make
Memfetch下載地址:https://lcamtuf.coredump.cx/
紅帽Crash
該核心分析套件是一個獨立的工具��,可以用來研究生態(tài)系統(tǒng)�����、在Netdump上創(chuàng)建的內核核心轉儲����、支持Red Hat Linux上的diskdump和kdump軟件包,可以用于內存取證���。安裝代碼:
## RHEL / CentOS ##
yum install crash
## Novell / Suse / OpenSUSE ##
zypper install yast2-kdump
Crash下載地址:https://people.redhat.com/anderson/
Memgrep
一款簡單的工具��,從運行中的進程和核心文件中搜索����、替換���、轉儲內存����。安裝:
## FreeBSD ##
pkg_add -r -v memgrep
Memgrep下載地址:https://hick.org/
Memdump
Memdump將系統(tǒng)內存轉儲到標準輸出流����,跳過內存映射。默認轉儲物理內存的內容。安裝:
## Debian / ubuntu Linux ##
sudo apt-get install memdump
## FreeBSD ##
pkg_add -r -v memdupm
foriana
根據(jù)操作系統(tǒng)結構之間的邏輯關系從RAM映像提取進程和模塊列表信息的工具�����。
foriana下載地址:https://hysteria.sk/~niekt0/foriana/
如果你還有其他的好工具��,請在下面分享����。
