嵌套虚拟机-监控嵌套虚拟机-libvmi-volatility

接上回:

libvmi监控-使用examples

cd ~
git clone https://github.com/libvmi/libvmi.git
cd libvmi
mkdir build
cd build
# 注意,由于我们是vmi的虚拟机,所以cmake编译时需要加上该编译选项(参考libvmi github上的readme)
# readme上有个坑就是这个参数需要设置为=1才可以,readme上没说
sudo cmake .. -DENABLE_KVM_LEGACY=1
sudo make
#下面这个命令会列出现在有的虚拟机
sudo virsh list --all
cd examples
# 下面这个虚拟机的名称替换为一个正在running的
sudo ./vmi-module-list ubuntu18.04

嵌套虚拟机-监控嵌套虚拟机-libvmi-volatility_第1张图片

volatility(尚未完成)

cd ~
git clone https://github.com/volatilityfoundation/volatility3.git
cd volatility3
python3 setup.py build 
python3 setup.py install
pip3 install -r requirements.txt

将vmi中的虚拟机做成img文件(使vol可读取)

sudo virsh dump --memory-only --verbose --domain win10_of_ubuntu18.04(vmi虚拟机的名字) --file ./ubuntu1804.img(outpu filename)

下载symbols文件

github的readme中给出了下载路径
建议使用迅雷下载

https://downloads.volatilityfoundation.org/volatility3/symbols/windows.zip
https://downloads.volatilityfoundation.org/volatility3/symbols/mac.zip
https://downloads.volatilityfoundation.org/volatility3/symbols/linux.zip

# 将下载后的zip文件放入volatility3/volatility3/symbols目录下
unzip *.zip

执行vol.py

sudo python3 vol.py -f ./win10.img windows.info

你可能感兴趣的:(计算机系统安全实验,linux,ubuntu)