八大Linux/Unix服务器内存转储工具

话说工欲善其事必先利其器，当你对Linux/Unix服务器内存进行转储时，手边需要有得力的工具。国外媒体盘点了八款Linux/Unix服务器内存转储工具。一起来看看。

LiME（Linux Memory Extractor）

LiME（之前叫DMD）是一种可加载内核模块（Loadable Kernel Module，LKM），可获得Linux和Linux设备中的易失性存储器。该工具支持从设备中的文件系统或者从网络中获取内存。LiME是第一个可以从Android设备捕捉完整内存的工具，在抓取过程中减少了将用户和内核空间进程之间的互动。

LiME下载地址：http://code.google.com/p/lime-forensics/downloads/list

Draugr

使用/dev/(k)mem或者信息转储，Draugr可通过python语言访问、读写、搜索内存。还可以通过不同方式找到系统信息。另外，还可以找到内核符号（XML文件或EXPORT_SYMBOL）、进程，以及反汇编和转储内存。

Draugr下载地址：http://code.google.com/p/draugr/downloads/list

Volatilitux

对Linux系统来说，Volatilitux相当于Volatility。Volatilitux支持以下物理内存转储架构：

ARM

x86

支持PAE的x86

支持以下命令：

pslist: 打印所有进程列表

memmap: 打印一个进程的内存映射

memdmp: 转储进程的可寻址内存

filelist: 对于一个给定的进程，打印所有的开启文档

filedmp: 转储开启文档

Volatilitux下载地址：http://code.google.com/p/volatilitux/downloads/list

Memfetch

这是一款简单的工具，可将运行中的进程的所有内存进行转储，或者在发现故障状态时进行转储。安装Memfetch代码：

## FreeBSD ##
pkg_add -r -v memfetch

## other *nix user download it from the following url ##
wget http://lcamtuf.coredump.cx/soft/memfetch.tgz tar xvf memfetch.tgz
cd memfetch && make

Memfetch下载地址：http://lcamtuf.coredump.cx/

红帽Crash

该核心分析套件是一个独立的工具，可以用来研究生态系统、在Netdump上创建的内核核心转储、支持Red Hat Linux上的diskdump和kdump软件包，可以用于内存取证。安装代码：

## RHEL / CentOS ##
yum install crash

## Novell / Suse / OpenSUSE ##
zypper install yast2-kdump

Crash下载地址：http://people.redhat.com/anderson/

Memgrep

一款简单的工具，从运行中的进程和核心文件中搜索、替换、转储内存。安装：

## FreeBSD ##
pkg_add -r -v memgrep

Memgrep下载地址：http://hick.org/

Memdump

Memdump将系统内存转储到标准输出流，跳过内存映射。默认转储物理内存的内容。安装：

## Debian / ubuntu Linux ##
sudo apt-get install memdump
## FreeBSD ##
pkg_add -r -v memdupm

foriana

根据操作系统结构之间的逻辑关系从RAM映像提取进程和模块列表信息的工具。

foriana下载地址：http://hysteria.sk/~niekt0/foriana/