libvmi-python监控虚拟机

于 2020-04-07 19:33:12 发布
阅读量608 收藏 1
点赞数
分类专栏: 虚拟机监控
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41122834/article/details/105371831
版权

libvmi用起来比较复杂,真的不懂计算机的底层知识,照葫芦化瓢写了进程和模块获取:

import logging
from libvmi import Libvmi, VMIOS,  AccessContext, TranslateMechanism, PageMode
class Vmiapi(object):
    def __init__(self, vname):
        self.vname = vname
        self.vmi = Libvmi(vname)
        self.vmid = self.vmi.get_vmid()
        self.os = self.vmi.get_ostype()
    def get_offset(self):
        # init offsets values
        tasks_offset = None
        name_offset = None
        pid_offset = None
        if self.os == VMIOS.LINUX:
            tasks_offset = self.vmi.get_offset("linux_tasks")
            name_offset = self.vmi.get_offset("linux_name")
            pid_offset = self.vmi.get_offset("linux_pid")
        elif self.os == VMIOS.WINDOWS:
            tasks_offset = self.vmi.get_offset("win_tasks")
            name_offset = self.vmi.get_offset("win_pname")
            pid_offset = self.vmi.get_offset("win_pid")
        else:
            logging.info("Unknown OS")
            return 1
        return {'tasks_offset': tasks_offset, 'name_offset': name_offset, 'pid_offset': pid_offset}
    def list_process(self):
        offsets = self.get_offset()
        if self.os == VMIOS.LINUX:
            list_head = self.vmi.translate_ksym2v("init_task")
            list_head += offsets['tasks_offset']
        elif self.os ==VMIOS.WINDOWS:
            list_head = self.vmi.read_addr_ksym("PsActiveProcessHead")
        else:
            return 1
        cur_list_entry = list_head
        next_list_entry = self.vmi.read_addr_va(cur_list_entry, 0)
        processess = []
        headers = ['pid','procename', 'current_process']
        while True:
            current_process = cur_list_entry - offsets['tasks_offset']
            pid = self.vmi.read_32_va(current_process + offsets['pid_offset'], 0)
            procname = self.vmi.read_str_va(current_process + offsets['name_offset'], 0)
            Dict = dict(zip(headers,[pid, procname,
                         hex(current_process)]))
            processess.append(Dict)
            cur_list_entry = next_list_entry
            next_list_entry = self.vmi.read_addr_va(cur_list_entry, 0)

            if self.os == VMIOS.WINDOWS and next_list_entry == list_head:
                break
            elif self.os == VMIOS.LINUX and cur_list_entry == list_head:
                break
        return processess
    def list_module(self):
        os = self.os
        if os == VMIOS.LINUX:
            next_module = self.vmi.read_addr_ksym("modules")
        elif os == VMIOS.WINDOWS:
            next_module = self.vmi.read_addr_ksym("PsLoadedModuleList")
        else:
            logging.info("Unknown OS")
        list_head = next_module
        while True:
            # follow the next pointer
            tmp_next = self.vmi.read_addr_va(next_module, 0)

            # if we are back at the list head, we are done
            if list_head == tmp_next:
                break

            page_mode = self.vmi.get_page_mode(0)
            modname = None
            # print out the module name
            if os == VMIOS.LINUX:
                if page_mode == PageMode.IA32E:
                    modname = self.vmi.read_str_va(next_module + 16, 0)
                else:
                    modname = self.vmi.read_str_va(next_module + 8, 0)

            elif os == VMIOS.WINDOWS:
                if page_mode == PageMode.IA32E:
                        modname = self.vmi.read_unicode_str_va(next_module + 0x58, 0)
                else:
                    modname = self.vmi.read_unicode_str_va(next_module + 0x2c, 0)

            else:
                logging.info("Unkown OS")

            if modname is not None:
                print(modname)
            next_module = tmp_next
柳暗花明又一村ヾ(◍°∇°◍)ノ゙
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
libvmi安装_Ubuntu_14.04
u013593323的博客
08-05 857
1 下载libvmi ,网址 http://libvmi.com/download/ libxc 下载 网址 http://www.tddft.org/programs/octopus/wiki/index.php/Libxc_2.2.2 glib下载网址 http://ftp.gnome.org/pub/gnome/sources/glib/2.44/glib-2.44.1.tar.xz
通过python虚拟机(kvm)的实时全面监控
qq_41122834的博客
04-09 877
结合之前的几个博客,整理了linux虚拟机的运行应用,相当于在kvm虚拟机的hook。 然后以libguestfs做摆渡,完成虚拟机的全面监控 hook代码如下: # coding:utf8 import os from pyinotify import WatchManager, Notifier, ProcessEvent import pyinotify import psutil impo...
LIBVMI的安装
xuriwuyun的专栏
10-12 2242
libvmi的介绍页面https://code.google.com/p/vmitools/。主要用于给Xen,KVM提供监控接口。 安装: ./autogen.sh ./configure make 此时应该能运行源目录地下的example了。如果需要进行代码开发,要将其安装到系统标准路径中: make install troubleShooting 运行./configure,出现错
libvmi:LibVMI项目的官方主页位于https://github.comlibvmilibvmi
02-14
LibVMI:简化的虚拟机自省 LibVMI是虚拟机自检库。 这意味着它可以帮助您访问正在运行的虚拟机的内存。 LibVMI提供了用于使用物理或虚拟地址以及内核符号访问此内存的原语。 LibVMI还支持从物理内存快照访问内存,这有助于调试或取证分析。 除了内存访问,LibVMI还支持内存事件。 事件在执行,写入或读取内存的已注册区域时提供通知。 内存事件需要虚拟机监控程序支持,并且当前仅在Xen中可用。 LibVMI设计为在Linux(文件,Xen或KVM访问)或Mac OS X(仅文件访问)上运行。 最常用的平台是Linux + Xen,但其他平台都经过了充分的测试,也值得探讨。 LibVMI可以为任何操作系统提供对物理内存的访问,并可以从Windows和Linux访问虚拟内存和内核符号。 如果您需要更高级别的语义信息,那么我们建议使用LibVMI Python绑定和Volatil
使用libvirt技术监控虚拟机(一)
oMengHen1的专栏
03-20 1636
[转]使用libvirt技术监控虚拟机(一) libvirt可以屏蔽不同虚拟化技术的差异,对不同类型的虚拟机进行管理。本文拟用libvirt技术实现一个虚拟机监控中间键,对虚拟机监控指标主要分为计算资源,内存资源,i\o资源,网络资源。 (1)获得虚拟机hypervisor连接     在对虚拟机进行操作之前,首先需要得到于虚拟机hypervisor的连接,其实libvir
VirtualBox-7.0.12-159484-Win 虚拟机
10-31
VirtualBox-7.0.12-159484-Win 虚拟机
python爱心代码-03-虚拟机软件.ev4.rar
最新发布
03-09
标题中的“python爱心代码-03-虚拟机软件.ev4.rar”表明这是一个关于Python编程的教程,特别是与虚拟机软件相关的部分。这个压缩包可能包含了第3部分的视频教程,文件名为“python爱心代码-03-虚拟机软件.ev4.mp4”...
canal-python:alibaba canal 客户端(Python3 版本)
05-02
canal-python 一.canal-python 简介 canal-python 是阿里巴巴开源项目 是阿里巴巴mysql数据库binlog的增量订阅&...1.代替使用轮询数据库方式来监控数据库变更,有效改善轮询耗费数据库资源。 2.根据数据库的变更实时更
opencv-python 3.4.1.15 opencv-contrib-python 3.4.1.15 win64版
08-04
opencv-python 3.4.1.15 opencv-contrib-python 3.4.1.15 win64版,opencv-python 3.4.1.15 opencv-contrib-python 3.4.1.15,支持版本:python3.4,3.5,3.6
支持GPU的OpenCV-python代码
06-05
3、Python OpenCV配置CUDA以支持GPU加速 (不使用Visual Studio) 可以使用该OpenCV 库版本利用GPU进行图像处理 4、OpenCV是计算机视觉和机器学习软件库,功能非常强大,通过pip安装的Python版本仅支持CPU运算,可以...
libvmime-0.9.0
02-19
Mine源码 开发Linux 程序必备 支持收发邮件功能
python vmware vsphere开发
08-10
python vmware vspere开发文档
虚拟机监控QEMU-VMI.zip
07-16
该软件基于QEMU, 实现了部分虚拟机监控功能(Virtual Machine Introspection). 以下功能集成到了QEMU中,用户不需要进入虚拟机(Linux)就可以获得虚拟机内部信息. 不需要对虚拟机中内核代码进行修改.top: 获得某虚拟机CPU利用率free: 获得某虚拟机内存利用率虚拟机系统调用表保护功能ps: 列出某虚拟机中所有进程信息lsmod: 列出某虚拟机中所有模块(驱动)信息translate: 将某虚拟机中的虚拟地址(gva)转换为物理地址(gpa)hostname: 获得某虚拟机主机名称ifconfig: 获得某虚拟机的网络配置listen: 实时监控虚拟机信息并转发到远程机器上
libvmi, 在https中,LibVMI项目的官方主页是.zip
10-10
libvmi, 在https中,LibVMI项目的官方主页是 LibVMI: 简化的虚拟机自省LibVMI是一个虚拟机自省库。 这意味着它可以帮助你访问正在运行的虚拟机的。 LibVMI提供了使用物理或者虚拟地址和内核符号访问这里内存的原语。 LibVMI还支持从物理内存快照访问内存,这对调试或者
libvmi安装教程
安徽小亚哥哥的博客
05-23 2666
1.安装libvmi,建议先在虚拟机下尝试,然后再在物理机上尝试。这里我在VMWare上的Ubuntu 14.04 desktop版本上安装。2.安装必要的依赖项sudo apt-get install libxenstore3.0sudo apt-get install libvirt-binsudo apt-get install bisonsudo apt-get install flexs...
LibVMI配置使用笔记
04-29 3550
LibVMI是米国的Sandia国家实验室 的Brian D.Payne等人开发的提供虚拟机内省(VMI)功能的程序库。这个实验室同时也研究核武器= =,当然LibVMI只是他们的一个微不足道的项目。 使用LibVMI,可以方便地在宿主机上透明读写虚拟机的内存。LibVMI支持的虚拟机有Xen和kvm,虚拟机系统有windows(98/2000/2003/xp)和linux 项目在goog
libvmi虚拟机自省源码分析(一)
ldk412046549的专栏
12-03 7372
Libvmi概况LibVMI是一个C库,它提供了对正在运行中的底层虚拟机的运行细节进行监视的功能,监视的功能是由观察内存细节,陷入硬件事件和读取CPU寄存器来完成的。这种方式被称作虚拟机自省(virtual machine introspection)。Libvmi原理libvmi所提供的种种功能中,最主要的是内存自省功能,内存自省能允许用户从dom0监控(也就是读取内存数据)以及控制(也就是改写内
linux搭建--ubuntu使用qemu-kvm,libvirt搭建虚拟机,并搭建libvmi来虚拟机自省(三)
bob的博客
12-07 1799
qemu版本:2.4.0.1 libvmi版本:0.10.1 libvirt版本:2.4.0 1、安装qemu 准备工作: sudo apt-get update -y sudo apt-get install git make patch tar -y sudo apt-get install qemu-kvm -y #提前安装virt-viewer的原因是如果后装virt-viewer会对libvirt产生覆盖,使libvirt安装失败 sudo apt-get install vnc4ser
OpenCV-Python教程:从入门到实践
"opencv-python教程中文版" OpenCV-Python是计算机视觉领域中广泛使用的开源库,主要用于图像处理和计算机视觉任务。本教程基于OpenCV的最新版本4.5.2,提供详细的中文指导,帮助开发者在Python环境中快速上手。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值