Ich habe recherchiert, wie man Disk-Images und Speicherauszüge eines Systems erstellt, das für forensische Zwecke verwendet wird. Ich habe gesehen, dass ProcDump den Speicher eines einzelnen Prozesses auslesen kann, aber ich hoffte, etwas zu finden, das den Speicherauszug des gesamten Speicherplatzes ermöglicht.
Irgendwelche Empfehlungen? Es dient akademischen Zwecken, daher sind kostenlose Optionen vorzuziehen.
Antwort1
Sie könnenLiveKD von Sysinternalsmacheneinen vollständigen Dump erstellen.
Kopieren Sie LiveKD in den Ordner „Debugging Tools“, führen Sie es aus, konfigurieren Sie die Symbole und geben Sie in der KD-Eingabeaufforderung ein, .dump /f D:\CompleteMemory.dmpdass ein Dump generiert werden soll.
