首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 经典问答
    3. 发新帖
[求助]分析内存dump文件
发表于: 2011-12-5 16:11 6993

[求助]分析内存dump文件

kongfei 活跃值
2011-12-5 16:11
6993
现在有windows的内存dump文件,是通过类似于dd的bit-by-bit copy的工具得到的。我想用winhex来分析其中某个进程,比如说浏览器进程,或者是system进程。

      但是现在遇到的问题,是如何定位这些进程呢?通过查找字符串的方法会有十几处结果。网上查了些资料,都是物理地址和虚拟地址转换的做法。现在更迷惑了,因为我认为winhex里的给出的是文件偏移,不是物理地址。

      我最终的目的是从dump文件中分离出指定进程的数据。现在的思路是,找到PsActiveProcessHead,然后根据活动进程链表定位指定的进程。

      请教大侠指点迷津,如何定位dump文件中的PsActiveProcessHead?
      或者说如何定位一个任意指定的进程(因为要连续分析可能提取出这个进程数据,一会有要提取另一个进程了)?
      是不是不应该用winhex分析?

    先行谢过各位了!!

    不知道kx该给多少。先放30,我一共77个kx,不够了可以再追加。

[课程]Linux pwn 探索篇!

收藏
免费 0
支持
分享
最新回复 (6)
okzhaoga
雪    币: 63
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
有很多取证工具,可以谷歌下。如果是微软的dump文件,windbg就可以分析了。rawdump的话,不太清楚。
2011-12-14 16:53
0
kongfei
雪    币: 50
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
多谢,还有没有其他人能指点一二呢?
2011-12-15 07:57
0
lwtlwj
雪    币: 46
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
可以看看张印奎的《软件调试》第30章,里面讲了一下windows dump的分析。
2011-12-15 09:12
0
kongfei
雪    币: 50
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
多谢楼上,有没有关于无格式的dump文件分析资料呢?或者说rawdump。
2011-12-15 13:58
0
lwtlwj
雪    币: 46
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
LZ,什么是无格式的dump?是什么系统中dump文件?头一次听说,我上网搜索了一下没有发现相关的介绍,还请Lz介绍一下相关的资料。谢谢
2011-12-23 10:21
0
kongfei
雪    币: 50
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
是我表达不清楚,呵呵,是windows下的,内存dump文件。我只是看了digital investigate上几篇关于内存的文章,没有实践经验。无格式的dump我的理解是指不经过windows自动保存的dump文件,不能用windbg直接分析的。好久没来看帖子了,不好意思。
2012-2-13 20:12
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//