是否可以从 Windows 10 中的内存转储中获取进程 ID、进程类型、物理和虚拟地址等信息?
答案1
有几种工具能够通过使用自己的驱动程序直接访问内存来转储 Windows 系统的内存。您可以找到这些工具的列表这里。
然后,您可以使用诸如波动性的内存取证框架来分析生成的图像。
如何在 Windows 10 中获取完整的内存转储?
是否可以从 Windows 10 中的内存转储中获取进程 ID、进程类型、物理和虚拟地址等信息?
有几种工具能够通过使用自己的驱动程序直接访问内存来转储 Windows 系统的内存。您可以找到这些工具的列表这里。
然后,您可以使用诸如波动性的内存取证框架来分析生成的图像。