标签: linux virtual-machine
如何直接在正在运行的VM的RAM上运行波动率,而不需要先进行内存转储?
答案 0 :(得分:1)
波动性不适用于实时系统的分析。
如果您需要使用内存取证框架获取VM的进程列表,并且您对hypervisor的实时分析感兴趣,我建议您使用Rekall:
VM discovery and introspection with Rekall