话说工欲善其事必先利其器,当你对linux/unix服务器内存进行转储时,手边需要有得力的工具。国外媒体盘点了八款linux/unix服务器内存监控工具。一起来看看。
lime(linux memory extractor)
lime(之前叫dmd)是一种可加载内核模块(loadable kernel module,lkm),可获得linux和linux设备中的易失性存储器。该工具支持从设备中的文件系统或者从网络中获取内存。lime是第一个可以 从android设备捕捉完整内存的工具,在抓取过程中减少了将用户和内核空间进程之间的互动。
lime下载地址:http://code.google.com/p/lime-forensics/downloads/list
draugr
使用/dev/(k)mem或者信息转储,draugr可通过python语言访问、读写、搜索内存。还可以通过不同方式找到系统信息。另外,还可以找到内核符号(xml文件或export_symbol)、进程,以及反汇编和转储内存。
draugr下载地址:http://code.google.com/p/draugr/downloads/list
volatilitux
对linux系统来说,volatilitux相当于volatility。volatilitux支持以下物理内存转储架构:
* arm
* x86
* 支持pae的x86
支持以下命令:
* pslist: 打印所有进程列表
* memmap: 打印一个进程的内存映射
* memdmp: 转储进程的可寻址内存
* filelist: 对于一个给定的进程,打印所有的开启文档
* filedmp: 转储开启文档
volatilitux下载地址:http://code.google.com/p/volatilitux/downloads/list
memfetch
这是一款简单的工具,可将运行中的进程的所有内存进行转储,或者在发现故障状态时进行转储。安装memfetch代码:
## freebsd ##
pkg_add -r -v memfetch
## other *nix user download it from the following url ##
wget http://lcamtuf.coredump.cx/soft/memfetch.tgz
tar xvf memfetch.tgz
cd memfetch && make
memfetch下载地址:http://lcamtuf.coredump.cx/
红帽crash
该核心分析套件是一个独立的工具,可以用来研究生态系统、在netdump上创建的内核核心转储、支持red hat linux上的diskdump和kdump软件包,可以用于内存取证。安装代码:
## rhel / centos ##
yum install crash
## novell / suse / opensuse ##
zypper install yast2-kdump
crash下载地址:http://people.redhat.com/anderson/
memgrep
一款简单的工具,从运行中的进程和核心文件中搜索、替换、转储内存。安装:
pkg_add -r -v memgrep
memgrep下载地址:http://hick.org/
memdump
memdump将系统内存转储到标准输出流,跳过内存映射。默认转储物理内存的内容。安装:
## debian / ubuntu linux ## sudo apt-get install memdump ## freebsd ## pkg_add -r -v memdupm
foriana
根据操作系统结构之间的逻辑关系从ram映像提取进程和模块列表信息的工具。
<b>原文发布时间为:2013-07-05</b>
<b>本文来自云栖社区合作伙伴“linux中国”</b>