我需要分析一些vmware映像(vmware是虚拟机)上的恶意软件,特别是我需要做一个完整的转储过程。 我知道,暂停时,vmware将整个RAM写入一个.vmem文件。 图像被采取的平台是Windows XP。 我知道有一些这样做的工具,但他们大多是封闭的源代码或不适用于Windows XP。 我需要它在合理的时间内完成(如果可能的话,在一秒内完成),并从我自己的C ++程序运行,任何帮助将非常感激。
您好像要求与暂停的虚拟机进程和内存进行交互。
给一些取证工具一个镜头。 这个看起来很有希望:
http://code.google.com/p/volatility/