「中睿大學」是中睿天下建設的網絡攻防學習、交流與分享平臺。聚焦「實戰(zhàn)對抗」，基于中睿天下多年一線攻防實戰(zhàn)經驗，分享行業(yè)知識及優(yōu)秀實踐，幫助合作伙伴及用戶等提升網絡安全監(jiān)測預警、分析研判、態(tài)勢感知、攻擊溯源以及應急處置等攻防能力。

這次，我們走進「中睿大學」系列課程之“內存取證第一步——進程內存Dump與內存鏡像Dump”。

＃內存轉儲＃

內存轉儲是將內存所運行的程序中所有數(shù)據通過調試器保存到磁盤中的過程。系統(tǒng)崩潰時，將內存中的數(shù)據轉儲保存在轉儲文件中，供給有關人員進行排錯分析。其生成所保存的文件被稱作內存轉儲文件，主要用于程序的調試和內存取證。

＃轉儲系統(tǒng)內存鏡像＃

用于對整個系統(tǒng)內存進行分析，尋找是否存在惡意程序。轉儲速度依照系統(tǒng)物理內存大小而定，相比單個進程的轉儲文件更加全面，但與此同時速度也較慢。明確定位到惡意程序時，將其進程內存轉儲進行分析，更加靈活、快速。

本文主要介紹在Windows與Linux系統(tǒng)下如何提取內存文件，分為單個進程內存的轉儲與整個系統(tǒng)內存的轉儲。

1

Windows系統(tǒng)下如何轉儲內存

進程內存轉儲

＃任務管理器＃

◆ 簡介

任務管理器為Windows系統(tǒng)自帶工具，用于提供有關計算機性能的信息，并且顯示計算機上所運行的程序和進程詳細信息。

◆ 使用方式

打開運行對話框（Win＋R）—＞輸入 taskmgr

◆ 環(huán)境限制

該工具為Windows系統(tǒng)自帶工具
僅支持在Windows環(huán)境下使用

◆ 轉儲進程內存方式

選定目標進程右鍵，點擊創(chuàng)建轉儲文件即可。

保存路徑：

C：Users用戶AppDataLocalTemp進程名．DMP

＃ProcessExplorer＃

◆ 簡介

一款Windows系統(tǒng)與應用程序監(jiān)控工具，結合了文件監(jiān)視和注冊表監(jiān)視兩個工具的功能，還增加了多項重要的增強功能，此工具支持64位Windows系統(tǒng)，可以理解為一個增強版的任務管理器，轉儲進程內存與任務管理器相似。

◆ 下載地址

https：／／docs．microsoft．com／en－us／sysinternals／downloads／process－explorer

◆ 環(huán)境限制

ProcessExplore僅可在Windows系統(tǒng)下使用

Windows 7／Windows 2008 以下環(huán)境下需要安裝補丁KB2758857后才可正常使用

◆ 轉儲進程內存方式

1． 以管理員身份打開procexp．exe

2． 選中目標進程右鍵－＞Create Dump－＞Create Full Dump

3． 選擇保存位置即可