话说工欲善其事必先利其器,当你对Linux/Unix服务器内存进行转储时,手边需要有得力的工具。国外媒体盘点了八款Linux/Unix服务器内存监控工具。一起来看看。
LiME(Linux Memory Extractor)
LiME(之前叫DMD)是一种可加载内核模块(Loadable Kernel Module,LKM),可获得Linux和Linux设备中的易失性存储器。该工具支持从设备中的文件系统或者从网络中获取内存。LiME是第一个可以 从Android设备捕捉完整内存的工具,在抓取过程中减少了将用户和内核空间进程之间的互动。
- LiME下载地址:http://code.google.com/p/lime-forensics/downloads/list
Draugr
使用/dev/(k)mem或者信息转储,Draugr可通过python语言访问、读写、搜索内存。还可以通过不同方式找到系统信息。另外,还可以找到内核符号(XML文件或EXPORT_SYMBOL)、进程,以及反汇编和转储内存。
- Draugr下载地址:http://code.google.com/p/draugr/downloads/list
Volatilitux
对Linux系统来说,Volatilitux相当于Volatility。Volatilitux支持以下物理内存转储架构:
* ARM
* x86
* 支持PAE的x86
支持以下命令:
* pslist: 打印所有进程列表
* memmap: 打印一个进程的内存映射
* memdmp: 转储进程的可寻址内存
* filelist: 对于一个给定的进程,打印所有的开启文档
* filedmp: 转储开启文档
- Volatilitux下载地址:http://code.google.com/p/volatilitux/downloads/list
Memfetch
这是一款简单的工具,可将运行中的进程的所有内存进行转储,或者在发现故障状态时进行转储。安装Memfetch代码:
- ## FreeBSD ##
- pkg_add -r -v memfetch
- ## other *nix user download it from the following url ##
- wget http://lcamtuf.coredump.cx/soft/memfetch.tgz
- tar xvf memfetch.tgz
- cd memfetch && make
- Memfetch下载地址:http://lcamtuf.coredump.cx/
红帽Crash
该核心分析套件是一个独立的工具,可以用来研究生态系统、在Netdump上创建的内核核心转储、支持Red Hat Linux上的diskdump和kdump软件包,可以用于内存取证。安装代码:
- ## RHEL / CentOS ##
- yum install crash
- ## Novell / Suse / OpenSUSE ##
- zypper install yast2-kdump
- Crash下载地址:http://people.redhat.com/anderson/
Memgrep
一款简单的工具,从运行中的进程和核心文件中搜索、替换、转储内存。安装:
- ## FreeBSD ##
- pkg_add -r -v memgrep
- Memgrep下载地址:http://hick.org/
Memdump
Memdump将系统内存转储到标准输出流,跳过内存映射。默认转储物理内存的内容。安装:
## Debian / ubuntu Linux ##
sudo apt-get install memdump
## FreeBSD ##
pkg_add -r -v memdupm
foriana
根据操作系统结构之间的逻辑关系从RAM映像提取进程和模块列表信息的工具。
- foriana下载地址:http://hysteria.sk/~niekt0/foriana/
原文发布时间为:2013-07-05
本文来自云栖社区合作伙伴“Linux中国”
