Windows Vista任务管理器的变化大家应该有目共睹,支持进程路径显示、服务查看。今天我们就谈论一下新增的“创建转储文件”功能。这个功能可以从内存中获取相关进程的转储Dump映像文件。Dump文件有什么作用呢?
通过分析转储Dump映像文件我们可以使用ida这类静态调试器分析原始程序执行代码(脱壳的原始文件) 1.分析病毒2.调试程序。我们切换到Windows Vista任务管理器的“进程”页面。选择需要转存的进程,单击鼠标右键在弹出的快捷菜单中选择“创建转储文件”如图:
图1
这时Windows Vista的任务管理器会从相应进程的内存空间中映射出原始进程文件,如图2:
图2
最后转储的进程文件会保存到X:\User\安装用户名\AppData\Local\Temp文件夹中,转储后的文件为DMP后缀如图:
图3
| 
