[讨论]是否可能把操作系统当前的内存dump到一个文件中保存起来？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
Yangs 雪币： 164 活跃值： (10) 能力值： ( LV4，RANK：40 ) 在线值：发帖 6 回帖 62 粉丝 2 关注私信	Yangs 2 楼 dump要做什么啊？系统的物理内存是无数进程共用的。而且是按页分配。如果你不能把它分离开来。什么也分析不出来。要是虚拟内存。每个进程都有2G。都dump？ 2.3 dump的是物理内存。在ring0下应该很好做到。但是2.3的目的是为了防止硬件错误。和开机的时候快速回复。拿到dump也分析不出啥来吧。 4。pagefile.sys里边放的是各个进程中虚拟内存不常用的地址中的信息。数据结构我猜不同的版本应该不同吧。以上纯属个人猜想，如有雷同纯属巧合。 2009-6-13 21:54 0
Yangs 雪币： 164 活跃值： (10) 能力值： ( LV4，RANK：40 ) 在线值：发帖 6 回帖 62 粉丝 2 关注私信	Yangs 3 楼突然想起一个可能， lz是不是想把内存想硬盘还原卡似的来一个快照恢复啊？恢复内存应该不难吧。但这样好像还要回复cpu的全部寄存器和所有设备端口的寄存器。而回复的过程中还得用到它们，。。。。 2009-6-13 22:01 0
eyeblue 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	eyeblue 4 楼虚拟地址再大，实际也就是物理内存加上pagefile，总归还是有限的这个想法很多年前我也想过，可以参考操作系统休眠的做法，研究这个应该是需要研读acpi文档的，现代的硬件设备支持了acpi，操作系统才能实现休眠的，所以楼上的担忧并不存在不过估计最容易的做法还是研究虚拟机的快照文件 2009-6-13 22:11 0
JJJC 雪币： 141 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 310 粉丝 0 关注私信	JJJC 5 楼虚拟机难道不行吗? 2009-6-13 22:16 0
arryang 雪币： 205 活跃值： (171) 能力值： ( LV4，RANK：50 ) 在线值：发帖 100 回帖 264 粉丝 0 关注私信	arryang 1 6 楼谢谢各位，其实我们没有其他的要求，只是寻找出一套能够把当前系统内存dump成一个文件的可行方案，不知道哪位达人做过这事不？ 2009-6-13 23:00 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 7 楼虚拟内存是不太实际的咯....读物理内存就可以....MiPfnBitMap应该有点用.. 2009-6-13 23:06 0
aspower 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	aspower 8 楼 dump是有可能但是问题是你dump不要时间么？这个时间内内存不是在变化？那么你又这么保证内存一致啊虚拟机是可以，因为它有办法完全暂停下来，实际本机内存运行的东西你怎么暂停？ 2009-6-14 20:25 0
naspy 雪币： 181 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	naspy 9 楼好想法~~~~~~~~~~~ 等高手~~~~~~~~~~~ 2009-6-15 00:26 0
zhyxiao 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	zhyxiao 10 楼难道忘了windows的那个功能了么休眠这就是变相把当前内存完全拷贝到磁盘哦抛砖 2009-6-15 20:30 0
JJJC 雪币： 141 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 310 粉丝 0 关注私信	JJJC 11 楼这层说的对不过显存和内存混在一起保存怎么分开? 2009-6-15 22:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
Yangs 雪币： 164 活跃值： (10) 能力值： ( LV4，RANK：40 ) 在线值：发帖 6 回帖 62 粉丝 2 关注私信	Yangs 2 楼 dump要做什么啊？系统的物理内存是无数进程共用的。而且是按页分配。如果你不能把它分离开来。什么也分析不出来。要是虚拟内存。每个进程都有2G。都dump？ 2.3 dump的是物理内存。在ring0下应该很好做到。但是2.3的目的是为了防止硬件错误。和开机的时候快速回复。拿到dump也分析不出啥来吧。 4。pagefile.sys里边放的是各个进程中虚拟内存不常用的地址中的信息。数据结构我猜不同的版本应该不同吧。以上纯属个人猜想，如有雷同纯属巧合。 2009-6-13 21:54 0
Yangs 雪币： 164 活跃值： (10) 能力值： ( LV4，RANK：40 ) 在线值：发帖 6 回帖 62 粉丝 2 关注私信	Yangs 3 楼突然想起一个可能， lz是不是想把内存想硬盘还原卡似的来一个快照恢复啊？恢复内存应该不难吧。但这样好像还要回复cpu的全部寄存器和所有设备端口的寄存器。而回复的过程中还得用到它们，。。。。 2009-6-13 22:01 0
eyeblue 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	eyeblue 4 楼虚拟地址再大，实际也就是物理内存加上pagefile，总归还是有限的这个想法很多年前我也想过，可以参考操作系统休眠的做法，研究这个应该是需要研读acpi文档的，现代的硬件设备支持了acpi，操作系统才能实现休眠的，所以楼上的担忧并不存在不过估计最容易的做法还是研究虚拟机的快照文件 2009-6-13 22:11 0
JJJC 雪币： 141 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 310 粉丝 0 关注私信	JJJC 5 楼虚拟机难道不行吗? 2009-6-13 22:16 0
arryang 雪币： 205 活跃值： (171) 能力值： ( LV4，RANK：50 ) 在线值：发帖 100 回帖 264 粉丝 0 关注私信	arryang 1 6 楼谢谢各位，其实我们没有其他的要求，只是寻找出一套能够把当前系统内存dump成一个文件的可行方案，不知道哪位达人做过这事不？ 2009-6-13 23:00 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 7 楼虚拟内存是不太实际的咯....读物理内存就可以....MiPfnBitMap应该有点用.. 2009-6-13 23:06 0
aspower 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	aspower 8 楼 dump是有可能但是问题是你dump不要时间么？这个时间内内存不是在变化？那么你又这么保证内存一致啊虚拟机是可以，因为它有办法完全暂停下来，实际本机内存运行的东西你怎么暂停？ 2009-6-14 20:25 0
naspy 雪币： 181 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	naspy 9 楼好想法~~~~~~~~~~~ 等高手~~~~~~~~~~~ 2009-6-15 00:26 0
zhyxiao 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	zhyxiao 10 楼难道忘了windows的那个功能了么休眠这就是变相把当前内存完全拷贝到磁盘哦抛砖 2009-6-15 20:30 0
JJJC 雪币： 141 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 310 粉丝 0 关注私信	JJJC 11 楼这层说的对不过显存和内存混在一起保存怎么分开? 2009-6-15 22:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复