＃Procdump＃

◆ 簡(jiǎn)介

? ProcDump 是一種命令行實(shí)用程序，其主要目的是監(jiān)控 CPU 峰值的應(yīng)用程序，并在峰值期間生成崩潰轉(zhuǎn)儲(chǔ)，管理員或開發(fā)人員可以用它來確定峰值的原因。ProcDump 還包括掛窗監(jiān)控（使用 Windows 和任務(wù)管理器使用的窗口掛起的相同定義）、未處理的異常監(jiān)控，并可以根據(jù)系統(tǒng)性能計(jì)數(shù)器的值生成轉(zhuǎn)儲(chǔ)。它也可以作為一個(gè)一般過程轉(zhuǎn)儲(chǔ)實(shí)用程序，你可以嵌入到其他腳本。?使用需提前知道目標(biāo)進(jìn)程的PID號(hào)（該工具存在Linux版本，Linux系統(tǒng)下使用方式見后文。）

◆ 下載地址

https：／／docs．microsoft．com／zh－cn／sysinternals／downloads／procdump

◆ 環(huán)境限制

系統(tǒng)環(huán)境限制：Windows／Linux

◆ 轉(zhuǎn)儲(chǔ)進(jìn)程方式

Windows系統(tǒng)下查詢進(jìn)程PID

PID可在命令行中輸入tasklist查詢所有進(jìn)程，也可在任務(wù)管理器中查看

https：／／docs．microsoft．com／zh－cn／windows－h(huán)ardware／drivers／debugger／finding－the－process－id（查詢PID方式）

形式1：圖形化

命令行執(zhí)行procdump．exe應(yīng)用程序，第一次運(yùn)行需要同意用戶協(xié)議

使用該工具需要同意用戶協(xié)議后才可以正常使用

目標(biāo)轉(zhuǎn)儲(chǔ)進(jìn)程名為：shell．exe，PID號(hào)為：2380的進(jìn)程內(nèi)存，內(nèi)存轉(zhuǎn)儲(chǔ)文件默認(rèn)存儲(chǔ)位置與procdump．exe處于同一目錄

所用到的參數(shù)：－ma dump指定進(jìn)程的所有內(nèi)存信息

．procdump．exe －ma 2380

形式2：命令行

本次實(shí)驗(yàn)環(huán)境為msf回彈shell，命令行下同意用戶協(xié)議需要加參數(shù)－accepteula（同樣第一次使用同意）

下圖為同意用戶終端協(xié)議

同意用戶協(xié)議后可正常使用，使用方式同圖形化使用方式：procdump．exe －ma 2380

內(nèi)存鏡像

＃DumpIt＃

◆ 簡(jiǎn)介

利用Dumplt可以將一個(gè)系統(tǒng)的完整內(nèi)存鏡像dump下來，dumplt制作的內(nèi)存鏡像（raw文件）與系統(tǒng)內(nèi)存接近。

◆ 下載地址

https：／／www．downloadcrew．com／article／23854－dumpit

◆ 環(huán)境限制

僅可在Windows系統(tǒng)下運(yùn)行

◆ 使用Dumplt制作系統(tǒng)內(nèi)存鏡像

雙擊Dumplt．exe運(yùn)行，輸入y并回車。開始制作系統(tǒng)內(nèi)存鏡像。

回顯Success為制作成功，默認(rèn)存儲(chǔ)路徑與Dumplt．exe文件處于同一路徑。獲取到整個(gè)系統(tǒng)內(nèi)存文件后，可導(dǎo)入Volatility進(jìn)行內(nèi)存取證分析。