进程内存转储工具|内存镜像提取-取证工具

1.内存转储，内存转储（Memory Dump）是将计算机的物理内存（RAM）内容复制到一个文件中的过程，这个文件通常被称为“内存转储文件”或“核心转储文件”（Core Dump）,内存转储的主要目的是为了调试和分析程序崩溃，系统故障或其他异常情况，通过分析转储文件，开发人员和系统管理员可疑了解在发生问题时系统的状态，包括进程的运行状态、变量的值、调用栈等信息

场景：安全分析，故障排除，调试软件错误，性能优化

类型：

        完全内存转储：包含整个物理内存的内容，包括操作系统的内核，所有正在运行的进程及其数据，这种类型的转储文件非常大，但是提供了最 完整的系统状态信息，适用于了解系统的状态情况

        小型内存转储：仅包含导致崩溃的线程上下文信息，调用栈、模块列表等关键信息、相比完全内存转储，小型内存转储文件较小，但仍然足够用于大多数调试目的

        内核内存转储：包含操作系统内核和所有加载的驱动程序状态，但不包含用户模式下的应用程序数据，这种类型的转储文件比完全内存转储小，但仍能提供足够的信息来分析系统级别的问题

        活动内存转储：专门针对某个特定进程，记录该进程在某一时刻的所有内存内容，包括其代码、数据段、堆栈等，这对于调试单个应用程序的问题非常有用

windows系统下如何转储内存

*****任务管理器*****

*简介：

        任务管理器是Windows系统自带的工具，用于提供有关计算机性能的信息，并且显示计算机上所运行的程序和进程详细信息

*使用方式：

        CTRL+SHIFT+ESC

 *环境限制：

        只适用于windows系统，是windows系统自带的工具

转储方式：

        选定可疑进程----右键----创建转储文件即可

保存的路径为C:\Users\用户\AppData\Local\Temp\进程名.DMP

*****ProcessEsplorer******

*简介：

        windows系统与应用监控的工具，结合了文件监视和注册表监视两个工具的功能，此工具还支持64位的windows系统，可以理解为增强版的任务管理器，转储方法和任务管理器类似

下载地址：Process Explorer - Sysinternals | Microsoft Learn

环境限制：只可以在windows系统下使用

转储进程的方式：

               以管理员身份打开proexp.exe

 

选中可疑进程，右键-Create Dump--Create Full Dump

然后选择保存的位置即可

****Procdump****

   简介：

        ProcDump 是一种命令行实用程序，其主要目的是监控 CPU 峰值的应用程序，并在峰值期间生成崩溃转储，管理员或开发人员可以用它来确定峰值的原因。ProcDump 还包括挂窗监控（使用 Windows 和任务管理器使用的窗口挂起的相同定义）、未处理的异常监控，并可以根据系统性能计数器的值生成转储。它也可以作为一个一般过程转储实用程序，你可以嵌入到其他脚本。‎使用需提前知道目标进程的PID号（该工具存在Linux版本，Linux系统下使用方式见后文。）

◆ 下载地址

https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump

◆ 环境限制

系统环境限制：Windows/Linux

PID可在命令行中输入tasklist查询所有进程，也可在任务管理器中查看

形式1：图形化

命令行执行procdump.exe应用程序，第一次运行需要同意用户协议

使用该工具需要同意用户协议后才可以正常使用

目标转储进程名为：shell.exe,PID号为：2380的进程内存,内存转储文件默认存储位置与procdump.exe处于同一目录

所用到的参数：-ma dump指定进程的所有内存信息

.\procdump.exe -ma 2380 

形式2：命令行

本次实验环境为msf回弹shell，命令行下同意用户协议需要加参数-accepteula（同样第一次使用同意）

下图为同意用户终端协议

同意用户协议后可正常使用，使用方式同图形化使用方式：procdump.exe -ma 2380

内存镜像

#DumpIt#--windows内存镜像导出

简介：

利用Dumplt可以将一个系统的完整内存镜像dump下来，dumplt制作的内存镜像(raw文件)与系统内存接近。

◆ 下载地址

https://www.downloadcrew.com/article/23854-dumpit
环境限制

仅可在Windows系统下运行

◆ 使用Dumplt制作系统内存镜像

双击Dumplt.exe运行，输入y并回车。开始制作系统内存镜像。

回显seccess为制作成功，默认存储路径与Dumplt.exe文件处于同一路径，获取到整个系统内存文件后，可导入volatility工具进行内存取证分析

linux系统下如何转储内存

进程内存转储

#ProcDump-for-Linux#

◆ 简介

ProcDump linux版功能与windows版基本相同，使用方式有所变化

◆ 下载地址

https://github.com/Sysinternals/ProcDump-for-Linux

◆ 环境限制

仅Linux系统下使用，开发者给出了rpm包和deb包

开发者给出的可运行环境：

· Red Hat Enterprise Linux / CentOS 7

· Fedora 29

· Ubuntu 16.04 LTS

所支持的Linux发行版下安装方式

https://github.com/Sysinternals/ProcDump-for-Linux/blob/master/INSTALL.md

◆ ProcDump-for-Linux使用方式

1. rpm -Uvh

rpm -Uvh

https://packages.microsoft.com/config/centos/7/packages-microsoft-prod.rpm

2. yum install procdump

输入procdump检查是否安装成功

查看上面procdump给出的参数详情来看，指定PID号需要加参数-p

或者使用-w指定进程名来进行dump

内存镜像

#Linux Memory Grabbe#

◆  简介

Linux Memory Grabber一个用于转储Linux内存并创建Volatility（TM）配置文件的脚本。

◆ 下载地址

https://github.com/halpomeranz/lmg/

◆ 环境限制

仅在Linux系统下使用

◆ 安装步骤

该工具可以安装到U盘中，安装方式：

https://github.com/halpomeranz/lmg/blob/master/INSTALL

◆ 前期准备

Lmg:  https://github.com/halpomeranz/lmg/ 脚本主程序

avml：https://github.com/microsoft/avml（可直接下载二进制文件） Linux的便携式内存采集工具

LiME:  https://github.com/504ensicsLabs/LiME

下载来的所有文件必须处于同一文件夹

◆ 安装过程

新建目录Linux_Memory_Grabber

将需要用到的文件复制到新键的目录中

Cp lmg/lmg Linux_Memory_Grabber/

修改avml二进制文件名

mv avml avml-$(uname -m)

mv avml-convert avml-convert-$(uname -m)

添加执行权限

chmod +x avml-convert-x86_64 avml-x86_64

进入到LiME/src目录

Cd LiME/src

Patch < ../../../lmg/lime-Makefile.patch

# Centos7下patch 命令使用yum -y install patch安装即可

到这里即安装完成，可以使用二进制文件lmg来转储Linux系统内存，该项目地址中还可以配置Volatility进行联动。

#使用lmg转储linux内存镜像#

./lmg -y

转储成功，保存路径在当前目录下capture文件下

.lime为后缀的文件为系统内存转储文件，可用与导入Volatility进行内存分析。

部分内容源自互联网公开资料整理