DUMP进程内存保存文件

于 2023-05-05 12:22:49 发布
阅读量314 收藏
点赞数 1
分类专栏: Windows 文章标签: windows 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/misaka10046/article/details/130504306
版权

代码

#include <Windows.h>
#include <TlHelp32.h>
#include <stdio.h>

// Dump a process' memory to a file
void dumpProcessMemory(DWORD pid, const char* filename) {
    HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);
    if (hProcess == NULL) {
        printf("Failed to open process %d\n", pid);
        return;
    }

    // Get the process information
    PROCESSENTRY32 pe = { 0 };
    pe.dwSize = sizeof(pe);
    HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    if (Process32First(hSnapshot, &pe)) {
        do {
            if (pe.th32ProcessID == pid) {
                break;
            }
        } while (Process32Next(hSnapshot, &pe));
    }
    CloseHandle(hSnapshot);

    // Create the output file
    FILE* fp = fopen(filename, "wb");
    if (fp == NULL) {
        printf("Failed to create file %s\n", filename);
        CloseHandle(hProcess);
        return;
    }

    // Loop through all memory regions in the process and write them to the file
    MEMORY_BASIC_INFORMATION mbi;
    SIZE_T bytesRead;
    for (LPVOID address = NULL; VirtualQueryEx(hProcess, address, &mbi, sizeof(mbi)) == sizeof(mbi); address = (LPBYTE)mbi.BaseAddress + mbi.RegionSize) {
        if (mbi.State != MEM_FREE) {
            // Allocate a buffer for this memory region and read the data from the process
            LPVOID buffer = VirtualAlloc(NULL, mbi.RegionSize, MEM_COMMIT, PAGE_READWRITE);
            ReadProcessMemory(hProcess, mbi.BaseAddress, buffer, mbi.RegionSize, &bytesRead);

            // Write the memory contents to the file
            fwrite(buffer, 1, mbi.RegionSize, fp);

            // Free the buffer
            VirtualFree(buffer, 0, MEM_RELEASE);
        }
    }

    fclose(fp);
    CloseHandle(hProcess);

    printf("Dumped process %s (pid=%d) memory to file %s\n", pe.szExeFile, pid, filename);
}

int main(int argc, char** argv) {
    if (argc != 2) {
        printf("Usage: dumpmem <pid>\n");
        return 1;
    }

    DWORD pid = atoi(argv[1]);
    dumpProcessMemory(pid, "memory.bin");

    return 0;
}

效果

在这里插入图片描述

0xwangliang
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux dump进程内存,Linux系统内存dump机制介绍(一)——kdump
weixin_39818727的博客
04-29 1569
按照Linux系统的设计哲学,内核只提供dump内存的机制,用户想要dump什么样的内存dump多少内存是属于策略问题,由用户来决定。在真实的使用场景中,主要有两种使用方式:kdump和coredump1.kdumpdump某一个进程的地址空间来供用户在进程挂掉之后debug分析。2.coredumpdump整个系统的内存空间,以便于系统管理员debug分析系统挂掉的原因。本文主要描述kdu...
Memory Dump利用实例
weixin_34356138的博客
03-08 3927
三好学生 · 2015/09/11 11:040x00 前言众所周知,procdump可以获得进程内存dump文件 最常见的用法如下:1、使用procdump抓取lsass进程 2、获得LSASS进程内存dump文件 3、用mimikatz解析dump文件 4、获取主机明文密码 复制代码那么,我们是否可以大胆设想一下,能否使用procdump抓取其他进程内存文件,进而获得内存中的敏感信息呢?0x...
Dump文件作用和生成
07-17
附件是Dump文件的生成方式和作用,Dump文件对解决程序崩溃有着非常便捷的作用,非常不错的工作机制。
memorydump分析方法
09-02
查看assert信息: 1、 可以通过工程模式查看last exception 步骤:工程指令(*#65289*#)->Debug Info->Last Exception 2、通过catcher查看 步骤:连接catcher -> Advanced -> Retrieve Exception
Windows 下获得当前线程上下文并保存dump文件测试之2
Joshua的专栏
03-09 263
#include <Windows.h> #include <Dbghelp.h> #include <excpt.h> #include <exception> #include <iostream> #include <thread> #pragma comment(lib, "Dbghelp.lib") void DumpMiniDump(unsigned long code, PEXCEPTION_POINTERS exc.
windbbg中如何把dump文件中的内存数据保存文件
最快的脚步不是跨越,而是继续;最慢的步伐不是缓慢,而是徘徊!
05-05 554
在看一个dump文件时发现有一个jpg图片的数据buffer的实际大小和参数中的大小不太符合。导致了0xc0000005的崩溃,所以我想把dump中的图片内存写到文件中,确认下图片是否是一个正常的jpg图片。 比如下面这个例子就是把从0x10de8c00开始的300个字节的内容写到d:\1111.jpg文件中。 .writemem d:\1111.jpg 0x10de8c00 L300 参考资料: .writemem (Write Memory to File) - Windows dr..
Windows下生成dump文件的三种方式
qq_58397358的博客
12-20 1万+
windows平台下dump文件的生成方式
Dump文件的生成和使用
热门推荐
不当初
06-04 15万+
1 简介 第一次遇到程序崩溃的问题,之前为单位开发了一个插件程序,在本机运行没有出现问题,但把生成的可执行文件拷贝到服务器上一运行程序,刚进入插件代码,插件服务就崩溃了,当时被这个问题整的很惨,在同事的帮助下了解到,对于程序崩溃,最快的解决方式是生成dump文件,通过生成dump文件使用调试工具进行调试,还原程序崩溃时的状态,能够起到快速定位排查问题的作用。Dump文件进程内存镜像。可以...
[范例]从正在运行的Linux进程dump内存内容
公众号shadow sock7
05-30 3万+
参考: https://colin.guru/index.php?title=Dumping_Ram_From_Running_Linux_Processes先file一下,$ file ctf-bin ctf-bin: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked (uses shared libs
linux dump进程内存,Linux core dump file详解
weixin_39967598的博客
04-29 1278
1. 前言: 有的程序可以通过编译, 但在运行时会出现Segment fault(段错误). 这通常都是指针错误引起的. 但这不像编译错误一样会提示到文件->行, 而是没有任何信息, 使得我们的调试变得困难起来.2. gdb: 有一种办法是, 我们用gdb的step, 一步一步寻找. 这放在短小的代码中是可行的, 但要让你step一个上万行的代码, 我想你会从此厌恶程序员这个名字, 而把他叫...
浅析Linux下利用coredump技术追查进程崩溃原因
01-09
如果系统开启了coredump,准确的说如果当前的shell环境开启了coredump,当前shell环境下的程序崩溃退出时,会把当时进程的栈的内存状态写入core文件。使用gdb可以查看这个core文件保存的栈的状态,gdb a.out core...
dump教程,纠错
08-27
也就是说把内存中或者其他的输入转存到另一个位置,当然对于我们现在说的dump就是把内存中运行的PE进程的数据,从内存中抓取出来,然后在用文件的形式保存下来。 根据上面的分析我们基本上得到了一个这样的思维。...
如何快速定位线上Doris FE内存使用过高问题? (1).pdf
最新发布
09-18
2.基于jmap进行FE堆内存分析jmap用于查看堆内对象的统计信息,也可用于生成Java进程dump文件,dump文件保存了可以输出的所有内存对象。 2.1通过jmap-histo:live统计当前JVM堆内对象信息执行"jmap-histo:live pid...
Oracle 主要配置文件介绍
08-25
Oracle 实例的多数内存进程设置 以下是一些主要参 数的说明 1 实例的数据库名称 db_name = "cams" 2 实例名称 instance_name = cams 3 数据库控制文件的名称和位置 control_files = ...
Redis持久化、主从与哨兵架构详解开发文档
01-30
在默认情况下, Redis 将内存数据库快照保存在名字为 dump.rdb 的二进制文件中。 你可以对 Redis 进行设置, 让它在“ N 秒内数据集至少有 M 个改动”这一条件被满足时, 自动保存一次 数据集。 比如说, 以下设置会...
Windows Error Reporting保存Crash Dump文件
空心芦苇的博客
05-19 5199
1、Crash Dump文件 Crash Dump(后缀名为:.dmp)文件进程内存镜像,可以把程序运行时的状态完整的保存下来,是调试异常程序重要的方法,所以程序崩溃时,除了日志文件dump文件便成了我们查找错误的最后一根救命的稻草。   2、在Windows中使用Windows Error Reporting保存Crash Dump文件 产生Crash Dump文件的方法不
抓取Dump文件的方法和工具介绍
danxuezx的专栏
04-20 3797
一、Windows系统的任务管理器里抓dump 启动任务管理器,选中某个进程,右键,弹出菜单"创建转储文件" 注意事项: 当你在64位Windows系统上抓32位进程的dmup文件时,如果用的是64位任务管理器,那么在用Windbg加载后,要用!wow64exts.sw切换到X86模式下,如果不想做这步切换,就要用32位的任务管理器来生成dmp文件。32位任...
windows上获取和分析dump文件
Terminator的专栏
04-11 8092
windbg 来根据dump查看信息。
dump内存文件的方法
qqqq0199181的博客
08-28 6596
在jvm启动的参数中,新增-XX:+HeapDumpOnOutOfMemoryError -XX:HeapDumpPath=/home/admin/logs/java.hprof jvm参数。这样在发生jvm 内存溢出时,就会直接dump出java.hprof 文件了。 直接导出jvm内存信息。 jmap -dump:format=b,file=/home/admin/logs/heap...
core dump文件
07-27
Core Dump文件是在程序崩溃时生成的文件,其中包含了程序运行时的内存、堆栈指针、寄存器状态和内存管理信息等。\[1\]当一个进程异常终止时,可以选择将进程的用户空间内存数据全部保存在磁盘上,文件名通常为core。\[2\]Core Dump文件可以通过sysctl/proc来设置文件名和文件路径。它通常以ELF格式保存,可以用于分析程序崩溃的原因。\[1\]通过使用gdb调试工具,可以检查Core Dump文件以查明错误的原因,这被称为事后调试。\[2\]默认情况下,系统不允许生成Core Dump文件,因为它可能包含用户密码等敏感信息。\[2\]如果需要生成Core Dump文件,可以通过设置core_pattern文件来指定生成的文件格式和存储路径。\[3\] #### 引用[.reference_title] - *1* *2* [Core Dump文件](https://blog.csdn.net/qq_37954088/article/details/79765491)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [linux中coredump文件分析](https://blog.csdn.net/weixin_44698673/article/details/126271862)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值