Linux 内存获取方法详解

# 安装编译依赖
sudo apt update
sudo apt install build-essential linux-headers-$(uname -r)

# 下载和编译 LiME
git clone https://github.com/504ensicsLabs/LiME.git
cd LiME/src
make

# 使用 LiME 获取内存（输出到文件）
sudo insmod lime-$(uname -r).ko "path=./memory.lime format=lime"

# 或者通过网络传输到远程主机
sudo insmod lime-$(uname -r).ko "path=tcp:4444 format=lime"

# 下载 AVML
wget https://github.com/microsoft/avml/releases/latest/download/avml
chmod +x avml

# 获取内存
sudo ./avml memory.bin

# 编译安装 fmem
git clone https://github.com/NateBrune/fmem
cd fmem
make
sudo ./run.sh

# 使用 dd 获取内存
sudo dd if=/dev/fmem of=memory.dump bs=1MB

# 复制内核内存镜像
sudo cp /proc/kcore memory.kcore

# 注意：这通常不包含完整的物理内存

# 获取特定进程的内存
sudo cat /proc/[PID]/mem > process_memory.dump

# 获取所有进程列表
ps aux

# 创建内存快照
vmrun -T ws snapshot "[VMX文件路径]" "内存快照"

# 或者直接挂起虚拟机获取 .vmem 文件

# 使用 virsh 创建内存转储
virsh dump [虚拟机名称] --memory-only memory.dump

# 或者使用 qemu-monitor
echo "dump-guest-memory memory.dump" | socat - UNIX-CONNECT:/var/run/qemu-[VM].monitor

# 获取容器内进程内存
docker exec [容器ID] cat /proc/1/mem > container_memory.dump

# 或者使用 CRIU 检查点
docker checkpoint create [容器名] memory-checkpoint

#!/bin/bash
# quick_memory_capture.sh

TIMESTAMP=$(date +%Y%m%d_%H%M%S)
OUTPUT_FILE="memory_capture_${TIMESTAMP}.lime"

echo "[*] 开始内存获取: $(date)"
echo "[*] 输出文件: ${OUTPUT_FILE}"

# 检查 LiME 模块
if [ -f "./lime.ko" ]; then
    echo "[*] 使用 LiME 获取内存"
    sudo insmod ./lime.ko "path=${OUTPUT_FILE} format=lime"
    sudo rmmod lime
else
    echo "[!] LiME 不可用，尝试其他方法"
    # 备用方法可以在这里添加
fi

echo "[+] 内存获取完成: $(date)"
echo "[+] 文件大小: $(du -h ${OUTPUT_FILE})"

# 1. 验证系统信息
uname -a
free -h

# 2. 选择合适的内存获取工具
# 3. 执行获取命令
# 4. 验证获取的内存文件完整性
file memory.dump
ls -lh memory.dump

# 检查文件类型
file memory.dump

# 检查文件大小（应该接近物理内存大小）
ls -lh memory.dump

# 使用 Volatility 验证可读性
python2 vol.py -f memory.dump imageinfo