Tenho pesquisado sobre a criação de imagens de disco e despejos de memória de um sistema em uso para fins forenses. Eu vi que o ProcDump pode despejar a memória de um único processo, mas esperava encontrar algo que permitisse despejar todo o espaço da memória.
Alguma recomendação? É para fins acadêmicos, portanto, opções não pagas são preferidas.
Responder1
Você pode usarLiveKD da sysinternalspendênciacrie um dump completo.
Copie o LiveKD para a pasta Debugging Tools, execute-o, configure os símbolos e no prompt do KD digite .dump /f D:\CompleteMemory.dmppara gerar um dump.
