我一直在研究創建用於取證目的的系統的磁碟映像和記憶體轉儲。我已經看到 ProcDump 可以轉儲單個進程的內存,但我希望我能找到允許轉儲整個內存空間的東西。
有什麼建議嗎?這是出於學術目的,因此首選免費選項。
答案1
您可以使用來自 sysinternals 的 LiveKD去做建立完整轉儲。
將 LiveKD 複製到偵錯工具資料夾中,運行它,配置符號並在 KD 提示字元中鍵入.dump /f D:\CompleteMemory.dmp以產生轉儲。
如何建立完整的 Windows 記憶體轉儲,最好不會導致系統崩潰?