从host端对Windows虚机进行内存dump和分析

最新推荐文章于 2024-05-15 02:26:52 发布
最新推荐文章于 2024-05-15 02:26:52 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010607621/article/details/103135604
版权
本文介绍了在无法直接操作Windows虚拟机时,如何从宿主机进行内存dump,并利用windbg进行分析的步骤。包括检查磁盘空间、保存虚机内存、使用volatility转换dump格式以及处理x64客户机的分析问题。
摘要由CSDN通过智能技术生成

1 场景用途

在市场故障或开发测试时遇到的windows卡顿问题,无法启动任务管理器,无法启动调试器,尤其是偶现的。在未配置双机调试,ScrollLock蓝屏和核心转储时。要想获知虚机内正在做什么十分困难。在此提供一种方法可以或许虚机的内存数据,进而转换为windbg可以分析的完全转储。

2 步骤

2.1 dump虚机内存

浏览一下host端的磁盘空间

df -h

将虚机内存保存到比较空余的地方。这条命令__只支持绝对路径__

virsh qemu-monitor-command虚机id或虚机名--hmp dump-guest-memory /opt/lessons/1.virshdmp

如果需要通过网盘传回研发本地的话,最好先压缩一下内存dump。为避免下载过程中报错重下,最好先分卷再上传。

zip -v -s 1g 1.virshdmp.zip 1.virshdmp

2.2 转换为windbg所用的dump格式

下载volatility。在windows上输入

volatility_2.6_win64_standalone --profile=客户机系统--plugins=raw2dmp -f1.virshdmpraw2dmp --output

最低0.47元/天 解锁文章
sculida
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
推荐几个常用的hmp命令和qmp命令
fulaidai的专栏
04-14 3662
推荐几个常用的hmp命令和qmp命令 hmp: 1.dump-guest-memorydump虚拟机信息 2.info qtree:查询设备树。 3.info mem:显示虚拟的内存映射 4.info pci:显示pci设备信息 5.device_add/device_del:设备热插拔 6.netdev_add/netdev_del:网络设备热插拔 7.p|print:打印表达
windows 应用程序崩溃时的内存转储及dump文件的分析
10-10
windows 应用程序崩溃时的内存转储及dump文件的分析
内存取证-volatility工具的使用 (史上更全教程,更全命令)_volatility内存取证(3)
最新发布
2401_85013565的博客
05-15 1150
shift=SHIFT Mac KASLR 移位地址–output=text 以这种格式输出(支持特定于模块,请参阅下面的模块输出选项)在此文件中写入输出-v, --verbose 详细信息-g KDBG, --kdbg=KDBG 指定一个 KDBG 虚拟地址(注意:对于 64 位 Windows 8 及更高版本,这是 KdCopyDataBlock 的地址)–force 强制使用可疑配置文件。
Windows内存dump
钞sir的博客
04-30 1万+
天地之间,物各有主…
dump虚拟机中的一段内存
choumin的专栏
04-02 978
方法:使用 virsh qemu-monitor-command 命名,它的基本用法是: $ virsh qemu-monitor-command --help NAME qemu-monitor-command - QEMU 监控程序命令 SYNOPSIS qemu-monitor-command <domain> [--hmp] [--pretty] {[--cmd] <string>}... DESCRIPTION QEMU 监控程序
windows+linux下如何使用Memory Analyzer (MAT)进行内存分析(linux+dump+内存分析工具+jmap+jstack)
勇气与行动
06-26 6695
1.在linux下首先找到tomcat的PID步骤1:ps aux|grep tomcat_1步骤2:用jhat生成dump文件,文件后缀为hprof(dump文件后缀的用mat打不开)jmap -dump:format=b,file=/opt/tomcat6666.hprof 15837步骤3:下载MAThttp://www.eclipse.org/mat/downloads.php...
VM安装和虚机创建(适用于入门级).pdf
10-26
虚拟机技术使得在一个物理主机上可以同时运行多个独立的操作系统实例,每个实例都有自己的系统资源,如CPU、内存、硬盘和网络接口等。这对于软件开发、测试、教学以及服务器隔离等方面具有显著的优势。 【VMware ...
详解云与备份之VMware虚机备份和恢复
09-30
- 写损失:采用Copy-on-write机制,修改数据时,先将原数据复制到delta vmdk,然后在delta vmdk上进行修改。 - 读损失:读取数据时,ESXi需检查数据块的修改状态,可能需要从多个vmdk中读取,降低了读取效率。 ...
debian、Windows server 2019虚机安装部署
04-12
debian&Windows server 2019虚机安装部署
WindowsServer2008虚机中安装VMware Center.pdf
11-12
。。。
WindowsServer2008虚机中安装VMware Center.docx
11-10
。。。
kvm内存管理之获取guest内存分布
huagongzxuezi的专栏
11-04 3453
一 KVM内存管理机制 (在此先只讲qemu如何让KVM获取非root的客户机的内存分布:事实上还没有与物理上形成映射,只是在qemu进程的线性空间中开辟一块区域) KVM不改变GUEST OS,而操作系统对内存的基本认识包括: 1.        物理地址从0开始;(eg, 0~4G) 2.        存在连续性;(4KB为一页,按页组织) 同一个host中,要满足多个guest
host上窥探kvm虚拟机内存
lingshengxiyou的博客
11-22 876
虚拟地址0xfe0020,其高52位(0xfe0020>>12)为0xfe0,也就是其虚拟页号为0xfe0。从此处读取一个8字节的数据,先检查最高位 "Bit 63 page present",如果是1,那么说明该页处于物理内存中,那么该8字节的第0-54位就是物理页号。通过qemu启动了一个8G内存的虚拟机,查看内存smaps,可以发现有个内存就是8G,这个就是guest所使用的物理内存。kvm虚拟机的内存虚拟化,使用了内存转换技术,过程如下:GVA -> GPA -> HVA -> HPA。
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 6万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
一文教你用Kdump分析内核崩溃原因(实例演示 ~)
youzhangjing_的博客
11-07 2150
克转储kdump 是一种基于 kexec 的内核崩溃转储机制,用来捕获内核 crash(内核崩溃)的时候产生的 crash dump。当内核产生错误时,kdump会将内存导出为vmcore保存到磁盘。kdump流程当系统崩溃时,kdump 使用 kexec 启动到第二个内核。第二个内核通常叫做捕获内核,以很小内存启动以捕获转储镜像。第一个内核启动时会保留一段内存给kdump用。kdump的配置系统启动时为crashkernel保留内存
Windows下生成dump文件的三种方式
qq_58397358的博客
12-20 1万+
windows平台下dump文件的生成方式
dump文件_KVM下触发蓝屏生成Windows DUMP文件设置
weixin_39624873的博客
11-29 335
windows虚机出现问题的时候,需要在虚拟环境中收集Windows的蓝屏日志,在物理机上可以通过注册键值来手动设置蓝屏,运行在kvm下的虚机则通过以下办法来解决!一、Windows 7设置(Windows server的设置也类似于此)1、修改注册表在“运行”输入 regedit打开注册表;CrashDumpEnabled:HKEY_LOCAL_MACHINESYSTEMCurrentCont...
最全的tcpdump使用详解
一口Linux的专栏
04-10 1万+
实用命令实例 默认启动 tcpdump 普通情况下,直接启动tcpdump将监视第一个网络接口上所有流过的数据包。 监视指定网络接口的数据包 tcpdump -i eth1 如果不指定网卡,默认tcpdump只会监视第一个网络接口,一般是eth0,下面的例子都没有指定网络接口。  监视指定主机的数据包 打印所有进入或离开sundown的数据包. tcpdump host sundown 也可以指定ip,例如截获所有210.27.48.1的主机收到的和发出的所有的数据包...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值