「中睿大學(xué)」是中睿天下建設(shè)的網(wǎng)絡(luò)攻防學(xué)習(xí)、交流與分享平臺。聚焦「實戰(zhàn)對抗」，基于中睿天下多年一線攻防實戰(zhàn)經(jīng)驗，分享行業(yè)知識及優(yōu)秀實踐，幫助合作伙伴及用戶等提升網(wǎng)絡(luò)安全監(jiān)測預(yù)警、分析研判、態(tài)勢感知、攻擊溯源以及應(yīng)急處置等攻防能力。

這次，我們走進(jìn)「中睿大學(xué)」系列課程之“內(nèi)存取證第一步——進(jìn)程內(nèi)存Dump與內(nèi)存鏡像Dump”。

＃內(nèi)存轉(zhuǎn)儲＃

內(nèi)存轉(zhuǎn)儲是將內(nèi)存所運行的程序中所有數(shù)據(jù)通過調(diào)試器保存到磁盤中的過程。系統(tǒng)崩潰時，將內(nèi)存中的數(shù)據(jù)轉(zhuǎn)儲保存在轉(zhuǎn)儲文件中，供給有關(guān)人員進(jìn)行排錯分析。其生成所保存的文件被稱作內(nèi)存轉(zhuǎn)儲文件，主要用于程序的調(diào)試和內(nèi)存取證。

＃轉(zhuǎn)儲系統(tǒng)內(nèi)存鏡像＃

用于對整個系統(tǒng)內(nèi)存進(jìn)行分析，尋找是否存在惡意程序。轉(zhuǎn)儲速度依照系統(tǒng)物理內(nèi)存大小而定，相比單個進(jìn)程的轉(zhuǎn)儲文件更加全面，但與此同時速度也較慢。明確定位到惡意程序時，將其進(jìn)程內(nèi)存轉(zhuǎn)儲進(jìn)行分析，更加靈活、快速。

本文主要介紹在Windows與Linux系統(tǒng)下如何提取內(nèi)存文件，分為單個進(jìn)程內(nèi)存的轉(zhuǎn)儲與整個系統(tǒng)內(nèi)存的轉(zhuǎn)儲。

1

Windows系統(tǒng)下如何轉(zhuǎn)儲內(nèi)存

進(jìn)程內(nèi)存轉(zhuǎn)儲

＃任務(wù)管理器＃

◆ 簡介

任務(wù)管理器為Windows系統(tǒng)自帶工具，用于提供有關(guān)計算機性能的信息，并且顯示計算機上所運行的程序和進(jìn)程詳細(xì)信息。

◆ 使用方式

打開運行對話框（Win＋R）—＞輸入 taskmgr

◆ 環(huán)境限制

該工具為Windows系統(tǒng)自帶工具
僅支持在Windows環(huán)境下使用

◆ 轉(zhuǎn)儲進(jìn)程內(nèi)存方式

選定目標(biāo)進(jìn)程右鍵，點擊創(chuàng)建轉(zhuǎn)儲文件即可。

保存路徑：

C：Users用戶AppDataLocalTemp進(jìn)程名．DMP

＃ProcessExplorer＃

◆ 簡介

一款Windows系統(tǒng)與應(yīng)用程序監(jiān)控工具，結(jié)合了文件監(jiān)視和注冊表監(jiān)視兩個工具的功能，還增加了多項重要的增強功能，此工具支持64位Windows系統(tǒng)，可以理解為一個增強版的任務(wù)管理器，轉(zhuǎn)儲進(jìn)程內(nèi)存與任務(wù)管理器相似。

◆ 下載地址

https：／／docs．microsoft．com／en－us／sysinternals／downloads／process－explorer

◆ 環(huán)境限制

ProcessExplore僅可在Windows系統(tǒng)下使用

Windows 7／Windows 2008 以下環(huán)境下需要安裝補丁KB2758857后才可正常使用

◆ 轉(zhuǎn)儲進(jìn)程內(nèi)存方式

1． 以管理員身份打開procexp．exe

2． 選中目標(biāo)進(jìn)程右鍵－＞Create Dump－＞Create Full Dump

3． 選擇保存位置即可