He estado investigando sobre la creación de imágenes de disco y volcados de memoria de un sistema en uso con fines forenses. He visto que ProcDump puede volcar la memoria de un solo proceso, pero esperaba poder encontrar algo que permitiera volcar todo el espacio de memoria.
¿Alguna recomendación? Es para fines académicos, por lo que se prefieren las opciones no remuneradas.
Respuesta1
Puedes usarLiveKD de sysinternalshacercrear un volcado completo.
Copie LiveKD en la carpeta Herramientas de depuración, ejecútelo, configure los símbolos y en el mensaje de KD escriba .dump /f D:\CompleteMemory.dmppara generar un volcado.
