8月 16

win32dd v1.2.2.20090608 オプションメモ

Windowsのメモリダンプを取得するツール[win32dd v1.2.2.20090608]のオプションメモです。

公式サイトはこちら

Usage:win32dd.exe [option] [output path]

キャプチャ停止条件関連
オプション 効果
 -r  
 生のメモリダンプ、スナップショットを作成。ダンプファイル名を指定。
 
 -l  
 マッピングレベルを指定([-r]と共に使用)
 
0  
 \\Device\\PhysicalMemory deviceを開く。
 
1  
 Kernel API MmMapIoSpace()を使う。
 
 -d  
 フルメモリダンプを取得。ダンプファイル名を指定。
 
 -t  MSTFダンプタイプを指定([-d]と共に使用)
 
0  
 オリジナルのMmPhysicalMemoryBlock。
 
1  
 MmPhysicalMemoryBlock。(PFN0を含む)
 
 -h  
 ヘルプを表示。
 

メモリダンプ取得例
D:\win32dd>win32dd.exe -t 1 -d .\dmp\test.dmp

Win32dd - v1.2.2.20090608 - Kernel land physical memory acquisition
Copyright (c) 2007 - 2009, Matthieu Suiche

Name Value
---- -----
File type: Microsoft crash dump
Acquisition method: MmMapIoSpace()
Content: Original MmPhysicalMemoryBlock + PFN 0

Destination path: \??\D:\win32dd\dmp\test.dmp

O.S. Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)
Computer name: xxxxx

Physical memory in use: 38%
Physical memory size: 2086960 Kb ( 2038 Mb)
Physical memory available: 1275324 Kb ( 1245 Mb)

Paging file size: 4025156 Kb ( 3930 Mb)
Paging file available: 3366268 Kb ( 3287 Mb)

Virtual memory size: 2097024 Kb ( 2047 Mb)
Virtual memory available: 2082952 Kb ( 2034 Mb)

Extented memory available: 0 Kb ( 0 Mb)

Physical page size: 4096 bytes
Minimum physical address: 0x3000
Maximum physical address: 0x7F680000

Address space size: 2137526272 bytes (2087428 Kb)
Acquisition started at: [17/8/2009 (DD/MM/YYYY) 3:4:38 (UTC)]

Processing....Done.

Acquisition finished at: [17/8/2009 (DD/MM/YYYY) 3:32:44 (UTC)]
Time elapsed: 28:06 minutes:seconds (1686 secs)

Created file size: 2137124864 bytes ( 2038 Mb)

NtStatus (troubleshooting): 0x00000000
Total of written pages: 521759
Total of inacessible pages: 4
Total of accessible pages: 521755

SHA1: 2C5A0111FFFF5ED21993E16100D69D207D64F92B

Physical memory in use: 39%
Physical memory size: 2086960 Kb ( 2038 Mb)
Physical memory available: 1252532 Kb ( 1223 Mb)

Paging file size: 4025156 Kb ( 3930 Mb)
Paging file available: 3346056 Kb ( 3267 Mb)

Virtual memory size: 2097024 Kb ( 2047 Mb)
Virtual memory available: 2082952 Kb ( 2034 Mb)

Extented memory available: 0 Kb ( 0 Mb)

Minimum physical address: 0x3000
Maximum physical address: 0x7F680000

Address space size: 2137526272 bytes (2087428 Kb)



Copyright 2017. All rights reserved.

Posted 2009年8月16日 by ntsuji in category "forensic", "memo