-
-
[求助]分析内存dump文件
-
发表于:
2011-12-5 16:11
7055
-
现在有windows的内存dump文件,是通过类似于dd的bit-by-bit copy的工具得到的。我想用winhex来分析其中某个进程,比如说浏览器进程,或者是system进程。
但是现在遇到的问题,是如何定位这些进程呢?通过查找字符串的方法会有十几处结果。网上查了些资料,都是物理地址和虚拟地址转换的做法。现在更迷惑了,因为我认为winhex里的给出的是文件偏移,不是物理地址。
我最终的目的是从dump文件中分离出指定进程的数据。现在的思路是,找到PsActiveProcessHead,然后根据活动进程链表定位指定的进程。
请教大侠指点迷津,如何定位dump文件中的PsActiveProcessHead?
或者说如何定位一个任意指定的进程(因为要连续分析可能提取出这个进程数据,一会有要提取另一个进程了)?
是不是不应该用winhex分析?
先行谢过各位了!!
不知道kx该给多少。先放30,我一共77个kx,不够了可以再追加。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
