話說工欲善其事必先利其器���,當你對Linux/Unix服務(wù)器內(nèi)存進行轉(zhuǎn)儲時���,手邊需要有得力的工具��。國外媒體盤點了八款Linux/Unix服務(wù)器內(nèi)存監(jiān)控工具�����。一起來看看���。
LiME(Linux Memory Extractor)
LiME(之前叫DMD)是一種可加載內(nèi)核模塊(Loadable Kernel Module,LKM)��,可獲得Linux和Linux設(shè)備中的易失性存儲器����。該工具支持從設(shè)備中的文件系統(tǒng)或者從網(wǎng)絡(luò)中獲取內(nèi)存。LiME是第一個可以從Android設(shè)備捕捉完整內(nèi)存的工具����,在抓取過程中減少了將用戶和內(nèi)核空間進程之間的互動。
LiME下載地址:https://code.google.com/p/lime-forensics/downloads/list
Draugr
使用/dev/(k)mem或者信息轉(zhuǎn)儲����,Draugr可通過python語言訪問、讀寫��、搜索內(nèi)存。還可以通過不同方式找到系統(tǒng)信息��。另外�,還可以找到內(nèi)核符號(XML文件或EXPORT_SYMBOL)�、進程,以及反匯編和轉(zhuǎn)儲內(nèi)存�。
Draugr下載地址:https://code.google.com/p/draugr/downloads/list
Volatilitux
對Linux系統(tǒng)來說,Volatilitux相當于Volatility��。Volatilitux支持以下物理內(nèi)存轉(zhuǎn)儲架構(gòu):
* ARM
* x86
* 支持PAE的x86
支持以下命令:
* pslist: 打印所有進程列表
* memmap: 打印一個進程的內(nèi)存映射
* memdmp: 轉(zhuǎn)儲進程的可尋址內(nèi)存
* filelist: 對于一個給定的進程���,打印所有的開啟文檔
* filedmp: 轉(zhuǎn)儲開啟文檔
Volatilitux下載地址:https://code.google.com/p/volatilitux/downloads/list
Memfetch
這是一款簡單的工具�,可將運行中的進程的所有內(nèi)存進行轉(zhuǎn)儲�,或者在發(fā)現(xiàn)故障狀態(tài)時進行轉(zhuǎn)儲。安裝Memfetch代碼:
## FreeBSD ##
pkg_add -r -v memfetch
## other *nix user download it from the following url ##
wget https://lcamtuf.coredump.cx/soft/memfetch.tgz
tar xvf memfetch.tgz
cd memfetch && make
Memfetch下載地址:https://lcamtuf.coredump.cx/
紅帽Crash
該核心分析套件是一個獨立的工具���,可以用來研究生態(tài)系統(tǒng)�����、在Netdump上創(chuàng)建的內(nèi)核核心轉(zhuǎn)儲��、支持Red Hat Linux上的diskdump和kdump軟件包���,可以用于內(nèi)存取證����。安裝代碼:
## RHEL / CentOS ##
yum install crash
## Novell / Suse / OpenSUSE ##
zypper install yast2-kdump
Crash下載地址:https://people.redhat.com/anderson/
Memgrep
一款簡單的工具�,從運行中的進程和核心文件中搜索、替換��、轉(zhuǎn)儲內(nèi)存�。安裝:
## FreeBSD ##
pkg_add -r -v memgrep
Memgrep下載地址:https://hick.org/
Memdump
Memdump將系統(tǒng)內(nèi)存轉(zhuǎn)儲到標準輸出流,跳過內(nèi)存映射�����。默認轉(zhuǎn)儲物理內(nèi)存的內(nèi)容����。安裝:
## Debian / ubuntu Linux ##
sudo apt-get install memdump
## FreeBSD ##
pkg_add -r -v memdupm
foriana
根據(jù)操作系統(tǒng)結(jié)構(gòu)之間的邏輯關(guān)系從RAM映像提取進程和模塊列表信息的工具。
foriana下載地址:https://hysteria.sk/~niekt0/foriana/
如果你還有其他的好工具�,請在下面分享。
