嵌套虚拟机-监控嵌套虚拟机-libvmi-volatility

接上回：

libvmi监控-使用examples

cd ~
git clone https://github.com/libvmi/libvmi.git
cd libvmi
mkdir build
cd build
# 注意，由于我们是vmi的虚拟机，所以cmake编译时需要加上该编译选项（参考libvmi github上的readme）
# readme上有个坑就是这个参数需要设置为=1才可以，readme上没说
sudo cmake .. -DENABLE_KVM_LEGACY=1
sudo make

#下面这个命令会列出现在有的虚拟机
sudo virsh list --all
cd examples
# 下面这个虚拟机的名称替换为一个正在running的
sudo ./vmi-module-list ubuntu18.04

volatility（尚未完成）

cd ~
git clone https://github.com/volatilityfoundation/volatility3.git
cd volatility3
python3 setup.py build 
python3 setup.py install
pip3 install -r requirements.txt

将vmi中的虚拟机做成img文件（使vol可读取）

sudo virsh dump --memory-only --verbose --domain win10_of_ubuntu18.04（vmi虚拟机的名字） --file ./ubuntu1804.img（outpu filename）

下载symbols文件

github的readme中给出了下载路径
建议使用迅雷下载

https://downloads.volatilityfoundation.org/volatility3/symbols/windows.zip
https://downloads.volatilityfoundation.org/volatility3/symbols/mac.zip
https://downloads.volatilityfoundation.org/volatility3/symbols/linux.zip

# 将下载后的zip文件放入volatility3/volatility3/symbols目录下
unzip *.zip

执行vol.py

sudo python3 vol.py -f ./win10.img windows.info