8月 16

win32dd v1.2.2.20090608 オプションメモ

Windowsのメモリダンプを取得するツール[win32dd v1.2.2.20090608]のオプションメモです。

公式サイトはこちら。

Usage:win32dd.exe [option] [output path]

キャプチャ停止条件関連
オプション	効果
-r	生のメモリダンプ、スナップショットを作成。ダンプファイル名を指定。
-l	マッピングレベルを指定（[-r]と共に使用）
	0	\\Device\\PhysicalMemory deviceを開く。
	1	Kernel API MmMapIoSpace()を使う。
-d	フルメモリダンプを取得。ダンプファイル名を指定。
-t	MSTFダンプタイプを指定（[-d]と共に使用）
	0	オリジナルのMmPhysicalMemoryBlock。
	1	MmPhysicalMemoryBlock。（PFN0を含む）
-h	ヘルプを表示。

メモリダンプ取得例
D:\win32dd>win32dd.exe -t 1 -d .\dmp\test.dmp


  Win32dd - v1.2.2.20090608 - Kernel land physical memory acquisition

  Copyright (c) 2007 - 2009, Matthieu Suiche 
    Name                        Value

    ----                        -----

    File type:                  Microsoft crash dump

    Acquisition method:         MmMapIoSpace()

    Content:                    Original MmPhysicalMemoryBlock + PFN 0
    Destination path:           \??\D:\win32dd\dmp\test.dmp
    O.S. Version:               Microsoft Windows XP Professional Service Pack 3 (build 2600)

    Computer name:              xxxxx
    Physical memory in use:         38%

    Physical memory size:       2086960 Kb (   2038 Mb)

    Physical memory available:  1275324 Kb (   1245 Mb)
    Paging file size:           4025156 Kb (   3930 Mb)

    Paging file available:      3366268 Kb (   3287 Mb)
    Virtual memory size:        2097024 Kb (   2047 Mb)

    Virtual memory available:   2082952 Kb (   2034 Mb)
    Extented memory available:        0 Kb (      0 Mb)
    Physical page size:         4096 bytes

    Minimum physical address:   0x3000

    Maximum physical address:   0x7F680000
    Address space size:         2137526272 bytes (2087428 Kb)

    Acquisition started at:     [17/8/2009 (DD/MM/YYYY) 3:4:38 (UTC)]
    Processing....Done.
    Acquisition finished at:  [17/8/2009 (DD/MM/YYYY) 3:32:44 (UTC)]

    Time elapsed:             28:06 minutes:seconds (1686 secs)
    Created file size:          2137124864 bytes (   2038 Mb)
    NtStatus (troubleshooting):   0x00000000

    Total of written pages:        521759

    Total of inacessible pages:         4

    Total of accessible pages:     521755
    SHA1: 2C5A0111FFFF5ED21993E16100D69D207D64F92B
    Physical memory in use:         39%

    Physical memory size:       2086960 Kb (   2038 Mb)

    Physical memory available:  1252532 Kb (   1223 Mb)
    Paging file size:           4025156 Kb (   3930 Mb)

    Paging file available:      3346056 Kb (   3267 Mb)
    Virtual memory size:        2097024 Kb (   2047 Mb)

    Virtual memory available:   2082952 Kb (   2034 Mb)
    Extented memory available:        0 Kb (      0 Mb)
    Minimum physical address:   0x3000

    Maximum physical address:   0x7F680000

Address space size: 2137526272 bytes (2087428 Kb)

Posted 2009年8月16日 by ntsuji in category "forensic", "memo