Je cours sous QEmu sous Linux et le système d'exploitation virtualisé est Windows XP. Je voudrais avoir soit la 1ère ou la 2ème possibilité:Création d'un vidage WinDbg de l'OS invité QEmu
- pour appliquer une commande QEmu qui crée une décharge qui peut être ouvert avec WinDbg
- pour appliquer une commande QEmu qui crée une décharge d'un type particulier puis utilisez un autre utilitaire pour le rendre lisible avec WinDbg
Je sais "dump-guest-mémoire" de QEmu (crée une décharge ELF-), plugin rekall raw2dmp
et plug-in de volatilité raw2dmp
. La sortie peut être scannée par WinDbg, mais en fait vous rencontrez le problème d'un mauvais en-tête - probablement la partie la plus importante d'un vidage, qui ne sert à rien lorsque la sauvegarde a été créée en utilisant les outils/plugins mentionnés ci-dessus. Beaucoup de domaines manquent de détails corrects. Comparaison avec un vidage normal créé par Windows OS lui-même (par exemple, lors d'un plantage), qui contient des informations complètes et correctes.
Je suis un étudiant et j'ai eu la tâche de résoudre ce problème. Je pense qu'il est raisonnable de veiller à ce que personne ne l'ait encore achevé, ce qui est logique.
http://resources.infosecinstitute.com/kernel-debugging-qemu-windbg/? –
@ThomasWeller bien, merci, mais c'est un peu différent. Je m'intéresse exactement aux décharges. Et j'ai oublié de mentionner que l'OS hôte est Linux. – StrausMG
ne pouvez pas exécuter deux instances qemu avec windows sur ce linux utiliser un qemu comme hôte et l'autre comme cible initier une connexion kd entre eux et utiliser la commande .crash ou la commande .dump pour obtenir un vidage? ou est-ce que je me méprends sur votre requête? – blabb