4. Arbeitsspeicher auslesen

Arbeitsspeicher auslesen

  • ?

    HI,
    Wie kann man den Kompletten Arbeitsspeicher auslesen?

    MFG Fragen der

    0
  • M

    Gar nicht, da jeder Prozess seinen eigenen 4GB(2GB) Adressraum hat. Du kannst den Speicher eines Prozesses auslesen, indem du mit VirtualQuery/VirtualQueryEx abfragst, wo Speicher allokiert ist und diesen dann mit ReadProcessMemory ausliest. Dies Funktioniert auch bei Systemprozessen wenn du das Privileg SE_DEBUG_NAME für den aktuellen Prozess gesetzt hast.
    Willst du ein wirklich komplettes Abbild des Speichers inklusive des Kernelspeichers haben, kannst du ein vollständiges Speicherabbild erzeugen, indem du dies zum Einen in der Systemsteuerung einstellst (System>Erweitert>Starten und Wiederherstellen>Vollständiges Speicherabbild) und dann mit einem Kernel-Mode-Treiber einen "Blauen Bildschirm" auslöst. Dazu muss die Auslagerungsdatei aber groß genug sein, um den gesamten Memorydump aufzunehmen, weil er komplett dort gespeichert wird und erst nach Neustart auf Festplatte, da das aktuelle Betriebssystem dann ja "kaputt" ist bis zum Neustart.

    0
  • N

    masterofx32 schrieb:

    Gar nicht...

    natürlich geht das. guckst du: http://www.sysinternals.com/ntw2k/info/tips.shtml#kmem

    0
  • M

    Da war ich wohl mit meinem "gar nicht" etwas vorschnell 😉
    Spannend... 😃

    0
Anmelden zum Antworten