＃Procdump＃

◆ 簡介

? ProcDump 是一種命令行實用程序，其主要目的是監(jiān)控 CPU 峰值的應用程序，并在峰值期間生成崩潰轉(zhuǎn)儲，管理員或開發(fā)人員可以用它來確定峰值的原因。ProcDump 還包括掛窗監(jiān)控（使用 Windows 和任務管理器使用的窗口掛起的相同定義）、未處理的異常監(jiān)控，并可以根據(jù)系統(tǒng)性能計數(shù)器的值生成轉(zhuǎn)儲。它也可以作為一個一般過程轉(zhuǎn)儲實用程序，你可以嵌入到其他腳本。?使用需提前知道目標進程的PID號（該工具存在Linux版本，Linux系統(tǒng)下使用方式見后文。）

◆ 下載地址

https：／／docs．microsoft．com／zh－cn／sysinternals／downloads／procdump

◆ 環(huán)境限制

系統(tǒng)環(huán)境限制：Windows／Linux

◆ 轉(zhuǎn)儲進程方式

Windows系統(tǒng)下查詢進程PID

PID可在命令行中輸入tasklist查詢所有進程，也可在任務管理器中查看

https：／／docs．microsoft．com／zh－cn／windows－h(huán)ardware／drivers／debugger／finding－the－process－id（查詢PID方式）

形式1：圖形化

命令行執(zhí)行procdump．exe應用程序，第一次運行需要同意用戶協(xié)議

使用該工具需要同意用戶協(xié)議后才可以正常使用

目標轉(zhuǎn)儲進程名為：shell．exe，PID號為：2380的進程內(nèi)存，內(nèi)存轉(zhuǎn)儲文件默認存儲位置與procdump．exe處于同一目錄

所用到的參數(shù)：－ma dump指定進程的所有內(nèi)存信息

．procdump．exe －ma 2380

形式2：命令行

本次實驗環(huán)境為msf回彈shell，命令行下同意用戶協(xié)議需要加參數(shù)－accepteula（同樣第一次使用同意）

下圖為同意用戶終端協(xié)議

同意用戶協(xié)議后可正常使用，使用方式同圖形化使用方式：procdump．exe －ma 2380

內(nèi)存鏡像

＃DumpIt＃

◆ 簡介

利用Dumplt可以將一個系統(tǒng)的完整內(nèi)存鏡像dump下來，dumplt制作的內(nèi)存鏡像（raw文件）與系統(tǒng)內(nèi)存接近。

◆ 下載地址

https：／／www．downloadcrew．com／article／23854－dumpit

◆ 環(huán)境限制

僅可在Windows系統(tǒng)下運行

◆ 使用Dumplt制作系統(tǒng)內(nèi)存鏡像

雙擊Dumplt．exe運行，輸入y并回車。開始制作系統(tǒng)內(nèi)存鏡像。

回顯Success為制作成功，默認存儲路徑與Dumplt．exe文件處于同一路徑。獲取到整個系統(tǒng)內(nèi)存文件后，可導入Volatility進行內(nèi)存取證分析。