9月 27

Win32dd & Win64dd v1.3.20090909 (RC2) beta メモ

Windowsのメモリダンプを取得するツール[Win32dd & Win64dd v1.3.20090909 (RC2) beta]のオプションメモです。
以前に、win32dd v1.2.2.20090608 オプションメモを書いたのですが今回のバージョンアップで

・ネットワークに対応
・64bitサポート
・速度向上
・ハッシュサポート
・マッピングメソッドの追加
・BSOD、ハイバネーション対応
・Windbg用にMicrosoftクラッシュダンプ対応

といった大きな変更によって、オプションも追加され、記述方法も変更になったため新たにメモを作成しました。
いつも通りボクの感覚的翻訳になりますのでその点はご容赦くださいね。

公式サイトはこちら

Usage:win32dd [options]

オプション 効果
 /f <file>  
 ダンプファイルの保存先を指定。
 
 /r  
 保存する生のメモリダンプファイル名を指定。
 
 /d;  
 保存するMicrosoftクラッシュダンプファイル名を指定。(WinDbg用)
 
 /c <value>  
 メモリの内容を指定。(/d オプションの場合のみ指定。)
 
 0   
 すべての物理アドレス空間。
 
 1   
 物理的なメモリブロック。(デフォルトはコレ。)
 
 2   
 物理的なメモリブロック + PFN Zero(ページフレームの最初の4kバイト)。
 
 /m <value>  
 /d や /r オプションのためのマッピングメソッド
 
 0   
 Kernel API MmMapIoSpace()を使う。(デフォルトはコレ。)
 
 1   
 \\Device\\PhysicalMemory device。
 
 2   
 PFNマッピング。
 
 /e  
 Microsoftハイバネーションファイルを作成(ローカルのみ。再起動)
 
 /k  
 Microsoftクラッシュダンプファイルを作成(Blue Screen Of Death)(ローカルのみ。再起動)
 
 /s <value>  
 使用するハッシュを指定。
 
 0   
 ハッシュアルゴリズムを使用しない。(デフォルトはコレ。)
 
 1   
 SHA1を使用。
 
 2   
 MD5を使用。
 
 3   
 SHA-254を使用。
 
 /y <value>  
 取得速度を指定。
 
 0   
 ノーマル。
 
 1   
 早い。
 
 2   
 音速。(すごく速いって意味なんでしょう。原文ではsonicと…)
 
 3   
 もっと音速。(原文ではhyper sonic。一番早いって意味なんでしょうね。)(デフォルト)
 
 /t <addr>  
 リモートにメモリダンプを保存する場合、そのホストアドレスやIPアドレスを指定。
 
 /p <port>  
 /t や /l オプションを用いる際のポート番号を指定(待ち受けと送信先)
 
 /l  
 サーバモードで実行する際の待ち受けポートを指定。
 
 /a  
 すべての問いに対して、yesを用いる。
 
 /?  
 ヘルプを表示。
 


Copyright 2017. All rights reserved.

Posted 2009年9月27日 by ntsuji in category "forensic", "memo