Crear volcados de RAM en Windows

Crear volcados de RAM en Windows.

Si la información de depuración está activada en el ordenador, si el sistema se bloquea en BSOD El contenido de la memoria de trabajo se escribirá en un archivo especial MEMORIA.DMPque luego pueden ser analizados por utilidades especiales. Sin embargo, puede ser necesario crear un volcado de memoria también por otras razones, por ejemplo, para detectar rastros de una infección de virus en el sistema y para forense – Realización de una investigación forense.

Estos últimos casos implican la creación de un molde de memoria en un sistema de trabajo y su posterior examen en otro PCpero, ¿cómo se crean estos moldes y qué herramientas se utilizan para analizarlos?

Normalmente se utilizan utilidades especializadas para este fin, como DumpIt o Capturador de RAM BelkasoftAl menos, el Explorador de procesos – Una herramienta más que famosa entre los administradores de sistemas y los programadores.

Crear un volcado de procesos en el Explorador de Procesos

Procedimiento para crear un volcado de memoria en Explorador de procesos no es especialmente complicado. Al ejecutar la utilidad desde en nombre del administradorIr al menú Ver y asegúrate de que la opción Opción «Mostrar procesos de todos los usuarios» está marcada. Luego, en la columna de la izquierda con la estructura de árbol de los procesos, haz clic en PCM en la sección seleccionada, selecciona en el menú la opción «Crear vertedero» y especifica la ruta del archivo a guardar DMP.

Puede Interesarte:  Cómo cambiar el fondo en la aplicación Terminal de Windows

Es cierto que en Windows 7 y en mayor medida en 8.1 и 10 Puede haber problemas con esto, ya que los procesos del sistema en estos OS tienen mayor prioridad que los procesos de los programas, incluso si se ejecutan como administrador. Una solución parcial al problema se encuentra en las siguientes utilidades ExecTI и DevxExec, permitiendo que los archivos ejecutables se ejecuten con el nombre de Sistemas и TrustedInstallerpero de nuevo sin ninguna garantía. Además, al utilizar ExecTI puede producirse un error «Ubicación no disponible».

Crear un volcado de RAM Belkasoft RAM Capturer

Considerando que. Explorador de procesos Más adecuado para crear volcados de procesos de baja prioridad, una utilidad muy especializada Capturador de RAM Belkasoft, muy utilizado por los forenses informáticos, almacena más datos en el volcado.

Para crear una instantánea de memoria en ella, basta con ejecutarla desde derechos de administrador y pulsa el botón «¡Captura!».

La utilidad guarda los datos de la memoria en MEM-imagen, que puede abrirse con un programa del mismo desarrollador Centro de Pruebas Belkasoft.

Esta herramienta es de pago y más que cara, no hay versión de prueba, a no ser que la encuentres disponible de forma gratuita.

Hay un analizador sintáctico menos conveniente pero completamente gratuito MEM-imagen VolatilidadSi te interesa, puedes buscarlo en Internet.

La ciencia forense es fascinante, así que hazlo.

Deja un comentario

UnComoHacer
Nosbi
Tarabu
Tecnomaniacos
UnMeroTecnologico
VidaParalela
Nekuromansa
Superfantasy