从host端对Windows虚机进行内存dump和分析

最新推荐文章于 2024-03-07 10:15:03 发布
原创 最新推荐文章于 2024-03-07 10:15:03 发布 · 1.5k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了在无法直接操作Windows虚拟机时,如何从宿主机进行内存dump,并利用windbg进行分析的步骤。包括检查磁盘空间、保存虚机内存、使用volatility转换dump格式以及处理x64客户机的分析问题。

1 场景用途

在市场故障或开发测试时遇到的windows卡顿问题,无法启动任务管理器,无法启动调试器,尤其是偶现的。在未配置双机调试,ScrollLock蓝屏和核心转储时。要想获知虚机内正在做什么十分困难。在此提供一种方法可以或许虚机的内存数据,进而转换为windbg可以分析的完全转储。

2 步骤

2.1 dump虚机内存

浏览一下host端的磁盘空间

df -h

将虚机内存保存到比较空余的地方。这条命令__只支持绝对路径__

virsh qemu-monitor-command虚机id或虚机名--hmp dump-guest-memory /opt/lessons/1.virshdmp

如果需要通过网盘传回研发本地的话,最好先压缩一下内存dump。为避免下载过程中报错重下,最好先分卷再上传。

zip -v -s 1g 1.virshdmp.zip 1.virshdmp

2.2 转换为windbg所用的dump格式

下载volatility。在windows上输入

volatility_2.6_win64_standalone --profile=客户机系统--plugins=raw2dmp -f1.virshdmpraw2dmp --output-image=1.dmp

此处的客户机系统填诸如<

最低0.47元/天 解锁文章
解决qemu内存偏小的问题
Pencc的专栏
06-24 5674
问题描述: qemu中设置大于4GB的内存并设置numa,启动linux2.6.32内核的客户,之后操作系统中查看实际内存是1.9G,比设置内存小了大概2.1GB。 QEMU version: 3.0.0 guest os kernel version: 2.6.32 host kernel version: 4.9.0 问题排查如下: 1)在系统中排查问题 通过如下命令查看60系统下内存槽硬件...
记一次x86 kvm缺失 tlb flush 引发的 CVE 漏洞
看我眼色行事的博客
01-05 2067
linux 5.5 版本以下才会触发,之后的版本已经修复该问题。触发现象:在x86 intel 芯片上的 kvm 环境中:当有多个进程或者多个线程在频繁或者多次执行 malloc,write,read,free 操作时,有概率触发任务程序崩溃产生 core dump 或者程序 abort。该问题触发对应。首先描述一下该 CVE 漏洞原文:上述崩溃触发原因是缺少 TLB flush,这可能使运行 KVM 客户中的进程访问到它不应该访问的客户中的内存位置。
windows 应用程序崩溃时的内存转储及dump文件的分析
10-10
windows 应用程序崩溃时的内存转储及dump文件的分析
qemu 抓取linux kernel vmcore
yanghao23的专栏
01-28 1920
1、利用qemu monitor 提取vmcore2、利用crash 工具加载分析vmcore。
推荐几个常用的hmp命令qmp命令
fulaidai的专栏
04-14 4064
推荐几个常用的hmp命令qmp命令 hmp: 1.dump-guest-memorydump信息 2.info qtree:查询设备树。 3.info mem:显示拟的内存映射 4.info pci:显示pci设备信息 5.device_add/device_del:设备热插拔 6.netdev_add/netdev_del:网络设备热插拔 7.p|print:打印表达
Windows内存dump
热门推荐
钞sir的博客
04-30 1万+
天地之间,物各有主…
Windows上使用dump文件调试
Wlk1229
08-17 4420
dump文件记录当前程序运行某一时刻的信息,包括内存,线程,线程栈,变量等等,相当于调试程序时运行到某个断点上,把程序运行的信息记录下来。可以通过Windbg打开dump,查看程序运行的变量等,来调试程序。
qemu仿真如何看ipmi命令如何在中抓包
08-20
在QEMU仿真环境中,监控IPMI命令以及对进行抓包分析是调试验证系统行为的重要手段。以下是具体的实现方法操作步骤。 ### 监控IPMI命令 在QEMU中,IPMI(Intelligent Platform Management Interface)...
kvm 创建的如何使用脚本使创建出来的的ip地址不相同,并且启用ssh监听不同的ip地址
最新发布
09-04
综上所述,脚本创建KVM时实现不同IP地址SSH监听不同地址的方法如下: 步骤总结: 1. 为每个生成唯一的MAC地址。 2. 为每个分配一个静态IP地址(或使用DHCP,但DHCP需要在启动后获取IP...
Windowsdump文件的生成
zhaihaibo168的博客
12-25 6593
WindowsDump文件分为两大类,内核模式Dump用户模式Dump。内核模式Dump是操作系统创建的崩溃转储,最经典的就是系统蓝屏,这时候会自动创建内核模式的Dump。用户模式Dump进一步可以分为Full DumpMinidump。Full Dump包含了某个进程完整的地址空间数据,以及许多用于调试的信息,而Minidump则有许多类型,根据需要可以包含不同的信息,有的可能只包含某...
host上窥探kvm内存
lingshengxiyou的博客
11-22 1055
拟地址0xfe0020,其高52位(0xfe0020>>12)为0xfe0,也就是其拟页号为0xfe0。从此处读取一个8字节的数据,先检查最高位 "Bit 63 page present",如果是1,那么说明该页处于物理内存中,那么该8字节的第0-54位就是物理页号。通过qemu启动了一个8G内存,查看内存smaps,可以发现有个内存就是8G,这个就是guest所使用的物理内存。kvm内存拟化,使用了内存转换技术,过程如下:GVA -> GPA -> HVA -> HPA。
Windows Dump 分类
Frendguo的博客
03-07 1873
这篇文章介绍了在Windows系统上的Dump文件类型,分为内核模式用户模式。内核模式包括完全内存转储、核心内存转储、小内存转储、自动内存转储活动内存转储。而用户模式则有完整用户模式转储小型转储。不同类型的Dump文件大小、包含的信息用途各不相同,可以用于系统应用程序的故障分析与诊断。
dump中的一段内存
choumin的专栏
04-02 1371
方法:使用 virsh qemu-monitor-command 命名,它的基本用法是: $ virsh qemu-monitor-command --help NAME qemu-monitor-command - QEMU 监控程序命令 SYNOPSIS qemu-monitor-command <domain> [--hmp] [--pretty] {[--cmd] <string>}... DESCRIPTION QEMU 监控程序
windows+linux下如何使用Memory Analyzer (MAT)进行内存分析(linux+dump+内存分析工具+jmap+jstack)
勇气与行动
06-26 6943
1.在linux下首先找到tomcat的PID步骤1:ps aux|grep tomcat_1步骤2:用jhat生成dump文件,文件后缀为hprof(dump文件后缀的用mat打不开)jmap -dump:format=b,file=/opt/tomcat6666.hprof 15837步骤3:下载MAThttp://www.eclipse.org/mat/downloads.php...
内存取证volatility工具命令详解
Y525698136的博客
01-04 5028
内存取证volatility工具命令详解
kvm内存管理之获取guest内存分布
huagongzxuezi的专栏
11-04 3755
一 KVM内存管理制 (在此先只讲qemu如何让KVM获取非root的客户内存分布:事实上还没有与物理上形成映射,只是在qemu进程的线性空间中开辟一块区域) KVM不改变GUEST OS,而操作系统对内存的基本认识包括: 1.        物理地址从0开始;(eg, 0~4G) 2.        存在连续性;(4KB为一页,按页组织) 同一个host中,要满足多个guest
windows程序使用Windbg分析dump
steem
04-23 8743
windows上Windbg分析dump文件
路由器逆向分析------QEMU的基本使用方法(MIPS)
D_R_L_T的博客
03-12 3605
转载地址: http://blog.youkuaiyun.com/QQ1084283172/article/details/69258334一、QEMU的运行模式直接摘抄自己《揭秘家用路由器0day漏洞挖掘技术》,网上查了一下也没有找到令人满意的QEMU的使用说明,就采用这本书上的介绍。如果后期能够找到比较满意的QEMU的使用方法的说明,再添加上来。QEMU模拟器主要有两种比较常见的运作模式:User Mod...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值