「中睿大學」是中睿天下建設的網(wǎng)絡攻防學習、交流與分享平臺。聚焦「實戰(zhàn)對抗」，基于中睿天下多年一線攻防實戰(zhàn)經(jīng)驗，分享行業(yè)知識及優(yōu)秀實踐，幫助合作伙伴及用戶等提升網(wǎng)絡安全監(jiān)測預警、分析研判、態(tài)勢感知、攻擊溯源以及應急處置等攻防能力。

這次，我們走進「中睿大學」系列課程之“內(nèi)存取證第一步——進程內(nèi)存Dump與內(nèi)存鏡像Dump”。

＃內(nèi)存轉(zhuǎn)儲＃

內(nèi)存轉(zhuǎn)儲是將內(nèi)存所運行的程序中所有數(shù)據(jù)通過調(diào)試器保存到磁盤中的過程。系統(tǒng)崩潰時，將內(nèi)存中的數(shù)據(jù)轉(zhuǎn)儲保存在轉(zhuǎn)儲文件中，供給有關人員進行排錯分析。其生成所保存的文件被稱作內(nèi)存轉(zhuǎn)儲文件，主要用于程序的調(diào)試和內(nèi)存取證。

＃轉(zhuǎn)儲系統(tǒng)內(nèi)存鏡像＃

用于對整個系統(tǒng)內(nèi)存進行分析，尋找是否存在惡意程序。轉(zhuǎn)儲速度依照系統(tǒng)物理內(nèi)存大小而定，相比單個進程的轉(zhuǎn)儲文件更加全面，但與此同時速度也較慢。明確定位到惡意程序時，將其進程內(nèi)存轉(zhuǎn)儲進行分析，更加靈活、快速。

本文主要介紹在Windows與Linux系統(tǒng)下如何提取內(nèi)存文件，分為單個進程內(nèi)存的轉(zhuǎn)儲與整個系統(tǒng)內(nèi)存的轉(zhuǎn)儲。

1

Windows系統(tǒng)下如何轉(zhuǎn)儲內(nèi)存

進程內(nèi)存轉(zhuǎn)儲

＃任務管理器＃

◆ 簡介

任務管理器為Windows系統(tǒng)自帶工具，用于提供有關計算機性能的信息，并且顯示計算機上所運行的程序和進程詳細信息。

◆ 使用方式

打開運行對話框（Win＋R）—＞輸入 taskmgr

◆ 環(huán)境限制

該工具為Windows系統(tǒng)自帶工具
僅支持在Windows環(huán)境下使用

◆ 轉(zhuǎn)儲進程內(nèi)存方式

選定目標進程右鍵，點擊創(chuàng)建轉(zhuǎn)儲文件即可。

保存路徑：

C：Users用戶AppDataLocalTemp進程名．DMP

＃ProcessExplorer＃

◆ 簡介

一款Windows系統(tǒng)與應用程序監(jiān)控工具，結合了文件監(jiān)視和注冊表監(jiān)視兩個工具的功能，還增加了多項重要的增強功能，此工具支持64位Windows系統(tǒng)，可以理解為一個增強版的任務管理器，轉(zhuǎn)儲進程內(nèi)存與任務管理器相似。

◆ 下載地址

https：／／docs．microsoft．com／en－us／sysinternals／downloads／process－explorer

◆ 環(huán)境限制

ProcessExplore僅可在Windows系統(tǒng)下使用

Windows 7／Windows 2008 以下環(huán)境下需要安裝補丁KB2758857后才可正常使用

◆ 轉(zhuǎn)儲進程內(nèi)存方式

1． 以管理員身份打開procexp．exe

2． 選中目標進程右鍵－＞Create Dump－＞Create Full Dump

3． 選擇保存位置即可