內存取證第一步——進程內存Dump與內存鏡像Dump
#Procdump#
◆ 簡介
? ProcDump 是一種命令行實用程序,其主要目的是監控 CPU 峰值的應用程序,并在峰值期間生成崩潰轉儲,管理員或開發人員可以用它來確定峰值的原因。ProcDump 還包括掛窗監控(使用 Windows 和任務管理器使用的窗口掛起的相同定義)、未處理的異常監控,并可以根據系統性能計數器的值生成轉儲。它也可以作為一個一般過程轉儲實用程序,你可以嵌入到其他腳本。?使用需提前知道目標進程的PID號(該工具存在Linux版本,Linux系統下使用方式見后文。)
◆ 下載地址
https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump
◆ 環境限制
系統環境限制:Windows/Linux
◆ 轉儲進程方式
Windows系統下查詢進程PID
PID可在命令行中輸入tasklist查詢所有進程,也可在任務管理器中查看
https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/finding-the-process-id(查詢PID方式)
形式1:圖形化
命令行執行procdump.exe應用程序,第一次運行需要同意用戶協議
使用該工具需要同意用戶協議后才可以正常使用
目標轉儲進程名為:shell.exe,PID號為:2380的進程內存,內存轉儲文件默認存儲位置與procdump.exe處于同一目錄
所用到的參數:-ma dump指定進程的所有內存信息
.procdump.exe -ma 2380
形式2:命令行
本次實驗環境為msf回彈shell,命令行下同意用戶協議需要加參數-accepteula(同樣第一次使用同意)
下圖為同意用戶終端協議
同意用戶協議后可正常使用,使用方式同圖形化使用方式:procdump.exe -ma 2380
內存鏡像
#DumpIt#
◆ 簡介
利用Dumplt可以將一個系統的完整內存鏡像dump下來,dumplt制作的內存鏡像(raw文件)與系統內存接近。
◆ 下載地址
https://www.downloadcrew.com/article/23854-dumpit
◆ 環境限制
僅可在Windows系統下運行
◆ 使用Dumplt制作系統內存鏡像
雙擊Dumplt.exe運行,輸入y并回車。開始制作系統內存鏡像。
回顯Success為制作成功,默認存儲路徑與Dumplt.exe文件處于同一路徑。獲取到整個系統內存文件后,可導入Volatility進行內存取證分析。
分享
請輸入評論內容...
請輸入評論/評論長度6~500個字
最新活動更多
- 1 AI狂歡遇上油價破百,全球股市還能漲多久? | 產聯看全球
- 2 OpenAI深夜王炸!ChatGPT Images 2.0實測:中文穩、細節炸,設計師慌了
- 3 6000億美元估值錨定:字節跳動的“去單一化”突圍與估值重構
- 4 Tesla AI5芯片最新進展總結
- 5 連夜測了一波DeepSeek-V4,我發現它可能只剩“審美”這個短板了
- 6 熱點丨AI“瑜亮之爭”:既生OpenClaw,何生Hermes?
- 7 AI界的殺豬盤:9秒刪庫跑路,全員被封號,還繼續扣錢!
- 8 2026,人形機器人只贏了面子
- 9 DeepSeek降價90%:價格屠夫不是身份,是戰略
- 10 AI Infra產業鏈卡在哪里了?
