开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何在不在Windows 7上显式运行AdPlus的情况下在崩溃时创建进程小型转储？

在Windows 7上，如果不想显式运行AdPlus来创建进程小型转储，可以通过以下步骤实现：

打开注册表编辑器，定位到以下路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps
在LocalDumps路径下，右键点击空白处，选择“新建” -> “项”，并命名为你想要创建转储的应用程序的可执行文件名（例如：myapp.exe）。
在新创建的应用程序项下，右键点击空白处，选择“新建” -> “DWORD (32 位) 值”，并命名为“DumpType”。
双击“DumpType”值，将数值数据设置为2，这将启用进程小型转储。
关闭注册表编辑器。

现在，当你的应用程序在Windows 7上崩溃时，将自动创建进程小型转储，而无需显式运行AdPlus。

进程小型转储是一种用于诊断应用程序崩溃的工具，它可以捕获应用程序崩溃时的内存和线程信息，帮助开发人员进行故障排除。它通常用于定位应用程序中的bug和内存泄漏问题。

腾讯云提供了一系列云计算产品，其中包括云服务器、云数据库、云存储等，可以满足不同场景下的需求。你可以访问腾讯云官方网站（https://cloud.tencent.com/）了解更多关于这些产品的详细信息。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

如何在.NET程序崩溃时自动创建Dump？

不过好消息是，虽然您无法在程序崩溃退出以后创建 Dump，但是您可以在程序崩溃时自动创建 Dump，这样下次遇到程序崩溃，那么就可以有分析的现场了。...Windows 平台在 Windows 中，可以将 Windows 错误报告（WER）配置为在应用程序崩溃时生成转储。...默认值为：2 COMPlus_DbgMiniDumpName 或 DOTNET_DbgMiniDumpName: 写入转储的文件路径。确保运行 dotnet 进程的用户具有指定目录的写入权限。...则启用转储进程的详细诊断日志记录。...总结本文主要是介绍了如何在 dotNet 程序崩溃时自动创建 Dump，Windows 上的方法对于.NET Freamwork 和.NET Core 版本都适用。.

1.6K3 0

如何在.NET应用程序中分析CPU使用率过高的问题

如果某个进程长时间使用超过90％的CPU，则我们会遇到麻烦在本文中，我们将分析基于Windows的服务器上. net web应用程序的高CPU使用率的实际案例场景、涉及到的识别问题的过程，以及更重要的问题...如前所述，我们使用New Relic Servers作为服务器监视器，它表明w3wp.exe在服务器崩溃时，该进程占用了94％的CPU。...Internet信息服务（IIS）工作进程是Windows进程（w3wp.exe），它运行Web应用程序，并负责处理发送到特定应用程序池的Web服务器的请求。...描述的规则将创建一组小型转储文件，这些文件的大小将非常小。最终转储将是具有完整内存的转储，并且该转储会更大。现在，我们只需要等待高CPU事件再次发生即可。...无论创建多少个类实例，静态成员只有一个副本。静态方法和属性无法访问其包含类型的非静态字段和事件，并且除非在方法参数中显式传递了实例变量，否则它们无法访问任何对象的实例变量。

2.4K3 0

Windows程序Dump收集

这个时候需要借助程序dump来做进一步的分析，进程的dump主要就是指当前运行进程的状态保存到一个文件，主要包含有进程相关的信息，比如当前函数调用栈，堆，线程运行时间等。...如下图打开Windows任务管理器，右键需要产生dump的进程,选择创建转存文件。 ?...adplus收集Dump adplus是windows 调试工具集中的一个工具，安装了WDK或者Windbg后在安装目录都有。...时Full的First Chance和Second Chance的dump，并且存放到C:\dumps目录（记得提前创建这个目录）。...使用提升后的管理员权限，运行如下命令： windbg -IS 实际上windbg的这个命令就是设置了windows的注册表项，在HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node

9875 0

dump LSASS

这里一共有两种转储方式 miniDump：应用程序可以生成用户模式的小型转储文件，其中包含故障转储文件中包含的信息的有用子集。应用程序可以非常快速有效地创建小型转储文件。...https://github.com/jschicht/RawCopy VMEM / VMSN文件可以为虚拟机快照或挂起快照时从创建的内存文件中提取完整的内存转储。...实际上，这种过程转储方法记录在MSDN的自己的页面中。...新的手法可以使用WerFault.exe（处理进程崩溃的Windows错误报告进程）创建lsass.exe的内存转储。...此技术的主要优点是它不会导致lsass.exe崩溃，并且由于WerFault.exe始终用于创建文件转储（而不仅仅是lsass.exe），因此此方法提供了未被检测到的附加优点。

2K3 0

10个用于C＃.NET开发的基本调试工具

如果你使用dnSpy启动进程，那么一切将正常运行。但是，如果你附加到正在运行的进程时，则已加载的模块将保持优化状态。也就是说它们是在 Release模式下构建的。...ProcDump ProcDump是用于保存转储文件的命令行工具。它可以立即或在触发器上生成转储。例如，在崩溃或挂起时创建转储。这是我推荐的用于捕获转储的工具。...以下是它的一些功能：立即创建转储创建具有特定间隔的多个转储（例如3个转储，相隔5秒）一旦超过CPU阈值，就创建转储如果进程挂起，则创建转储崩溃时创建转储若要查找有关ProcDump和Dump...的更多信息，请参阅我的文章：2019年如果创建、使用和调试.NET 应用程序崩溃转储 https://michaelscodingspot.com/how-to-create-use-and-debug-net-application-crash-dumps-in...你可以使用它来查看服务器端如何处理极端情况。或重现特定请求上发生的问题。哪一个没有提到你可能会想知道我未提及的某些工具，如果你已经做开发很长时间了，你可能会想到WinDbg。

2.5K5 0

创建.NET程序Dump的几种姿势

当一个应用程序运行的有问题时，生成一个 Dump 文件来调试它可能会很有用。在 Windows、Linux 或 Azure 上有许多方法可以生成转储文件。...下载 ProcDump: ProcDump[4] 使用进程名或者进程 Id 创建 dump procdump notepad procdump 4572 调试诊断工具调试诊断工具允许在满足某个条件时生成一个转储文件.../ma选项允许为所有连接的进程生成一个 minidump: .dump /ma [path] Windows Error Reporting Windows 错误报告允许在应用程序崩溃时生成一个转储文件...你可以查看我以前关于它的帖子。出错时自动创建崩溃转储文件[6] "Tip: 在出错时自动创建一个崩溃转储文件"。...Linux dotnet-dump (Linux) dotnet-dump 全局工具[7]是一种收集和分析.NET 核心应用程序转储的方法。

8983 0

译 | .NET Core 3.0 对诊断的改进

为什么我的应用程序会爆? 在某些情况下，仅通过跟踪进程就无法确定导致异常行为的原因。如果进程崩溃或可能需要更多信息(如访问整个流程堆)的情况，则进程转储可能更适合分析。...转储分析（Dump Analysis）转储是进程意外终止时通常捕获的进程的工作虚拟内存状态的记录。诊断核心转储文件通常用于识别应用程序崩溃或意外行为的原因。...传统上，您依靠操作系统在应用程序崩溃(例如Windows 错误报告)时捕获转储，或者使用 procdump 等工具在满足某些触发条件时捕获转储。...dotnet-dump 3.0.0-preview5中，我们引入了一个新的工具，允许您捕获和分析 Windows 和 Linux 上的进程转储。...安装 dotnet-dump后，可以通过运行以下命令来捕获进程转储： sudo $HOME/.dotnet/tools/dotnet-dump collect -p 在 Linux 上，可以通过运行以下命令加载生成的转储来分析生成的转储

1.5K3 0

如何在Linux上获得错误段的核心转储

下面我们就来看一看如何得到一个核心转储?...如何获得一个核心转储核心转储(core dump)是您的程序内存的一个副本，并且当您试图调试您的有问题的程序哪里出错的时候它非常有用。...ulimit 是按每个进程分别设置的 —— 你可以通过运行 cat /proc/PID/limit 看到一个进程的各种资源限制。...Max realtime timeout unlimited unlimited us 内核在决定写入多大的核心转储文件时使用软限制(soft limit)(在这种情况下，max core file size...从 gdb 中得到堆栈调用序列你可以像这样用 gdb 打开一个核心转储文件： 1. $ gdb -c my_core_file 接下来，我们想知道程序崩溃时的堆栈是什么样的。

4K2 0

dotnet test

在执行显式还原有意义的某些情况下，例如 Azure DevOps Services 中的持续集成生成中，或在需要显式控制还原发生时间的生成系统中，dotnet restore 命令仍然有用。...对于托管代码中的异常，将在 .NET 5.0 及更高版本上自动收集转储。对于 testhost 或也在 .NET 5.0 上运行并且出现故障的任何子进程，它将生成转储。...本机代码中的故障将不会生成转储。此选项适用于 Windows、macOS 和 Linux。...本机代码中的故障转储（或者当使用 .NET Core 3.1 或更早版本时）只能使用 Procdump 在 Windows 上进行收集。...--blame-hang-timeout （自 .NET 5.0 SDK 起可用）每个测试超时时间，在此时间后，将触发挂起转储，并转储和终止测试主机进程及其所有子进程。

3K2 0

Windows下dump文件生成与分析

大家好，又见面了，我是你们的朋友全栈君。一生成Dump文件生成dump文件有三种方式：任务管理器生成，windbg抓取，源码中添加dump转储代码。需要根据实际情况选择。...1.1 任务管理器在程序崩溃后，先不关闭程序，在任务管理器中找到该程序对应的进程。右键—>创建转储文件。此时会在默认的目录下创建出一个dump文件。...可以看出，此种方法只适用于程序崩溃但没有立即自行退出的情况。倘若程序故障后自行退出，则此方法就难以应用。...1.2 WinDbg抓取程序运行崩溃后，先不关闭程序，将WinDbg附加到改进程上。执行命令：.dump –ma Test.dmp ，则会产生一个Test.dmp的转储文件。...如下程序在程序异常时会自行转储一个名为Test.dmp的dump文件。

3.8K2 0

我们如何应对Python桌面应用程序的崩溃

在与操作系统集成时尤其如此，其中最简单的路径往往是使用平台特定的工具和语言（例如，Windows上的COM和macOS上的Objective-C）。...以上这些都是在minidump有效负载中捕获的，它是一种最初微软开发的在Windows上使用编写格式，有点类似于Unix风格的核心转储。...当应用的崩溃报告中含有minidump（小存储器转储文件：可帮助确定计算机为什么意外停止的最小的有用信息集）时, 我们使用之前生成的符号来跟踪应用里每个堆栈内容并将其链接到源代码中。...这是一个具有单一责任的小型 "配套" 进程 (类似于Crashpad)：当桌面应用退出时, 它会捕获其退出状态, 以确定它是否 "成功" （即用户或应用程序启动的关闭而不是被强行终止）。...因此，我们在 ProcessSnapshot 类中添加了代码来捕获 Python堆栈, 并引入了我们自己的自定义小型转储 "流" (文件格式符合，同时Crashpad本身支持) 来保留和报告此信息。

1.4K1 0

volatility 各个选项的详解

XP 和2003） consoles：提取执行的命令行历史记录（扫描_CONSOLE_INFORMATION信息） crashinfo：提取崩溃转储信息 deskscan...getsids：打印每个进程的SID信息 handles：打印每个进程打开的句柄的列表(句柄是一种智能的指针) hashdump：转储内存中Windows账户密码哈希...(This command does not support the profile Win7SP1x64) netscan:扫描网络情况 ....：按照EPROCESS列表打印所有正在运行的进程 psscan：进程对象池扫描 pstree：以树型方式打印进程列表 psxview：查找带有隐藏进程的所有进程列表 qemuinfo...：转储Qemu信息 raw2dmp：将物理内存原生数据转换为windbg崩溃转储格式 screenshot：基于GDI Windows的虚拟屏幕截图保存 servicediff：

4.9K2 0

利用SilentProcessExit机制dump内存

在GitHub上看到了一个利用SilentProcessExit机制dump内存的项目，于是学习了一下，于是今天来聊一聊利用SilentProcessExit机制dump内存，首先我们知道，在程序崩溃时或者系统崩溃时会产生崩溃后的文件...比如之前就有一篇文章，介绍的就是利用蓝屏崩溃来绕过卡巴斯基dump lsass进程(https://www.mrwu.red/web/2000.html)，而在win7之后，windows引入一些进程退出的相关机制...而利用这种机制，我们便可以用它来转储任意进程的内存，比如对我们比较有用的lsass进程。在这之前我们来看看如果想要做这些操作需要如何实现。...另外就是第二个注册表，这个主要是设置dump内存的一些细节问题，比如dump的位置、崩溃后操作的类型，这类选择的是LOCAL_DUMP，即0x2也就是为导致终止的进程和终止的进程创建一个转储文件，而需要注意的是...然后，WER服务将启动WerFault.exe，该文件将转储现有进程。值得注意的是，调用此API不会导致进程退出。

1.8K3 0

渗透新思路 | 仿真环境下内存转储分析和模糊测试的全记录

在此之前，我一般会将内存转储作为在程序崩溃前访问程序崩溃条件和执行上下文的最后一种方式。内存转储一般会用于调试或崩溃分析模糊测试，有时还会用于DFIR。...Windows内核模式仿真在这些工具库的帮助下，想要实现从Windows内核转储运行模拟器，就相对比较简单了，因为转储只不过是在给定时间内操作系统状态的快照罢了。...首先，从KdNet会话开始，我们可以轻松创建一个转储。...在BochsCPU上模拟用户模式代码比内核模式稍微复杂一些：内核转储包括一个几乎完整的操作系统快照，包括MMU正常工作所需的所有内核部分，然而我们需要的只在需要时将这些页面映射到Bochs。...Windows上的用户模式转储不包括任何这些信息，而只包括与用户模式进程本身相关的信息。

1591 0

内核转储的设置

简介当程序运行的过程中异常终止或崩溃，操作系统会将程序当时的内存状态记录下来，保存在一个文件中，这种行为就叫做 Core Dump（中文有的翻译成“核心转储”)。...核心转储如何产生上面说当程序运行过程中异常终止或崩溃时会发生 core dump，但还没说到什么具体的情景程序会发生异常终止或崩溃。...默认操作主要包括：终止进程（Term）、忽略该信号（Ing）、终止进程并发生核心转储（Core）、暂停进程（Stop）、继续运行被暂停的进程（Cont）。...不会生成core dump文件的情况进程没有写入核心文件的权限。（默认情况下，核心文件称为 core 或 core.pid，其中 pid 是转储核心的进程的 ID，并在当前工作目录中创建。...要创建核心转储文件的目录不存在。

1.8K4 0

在射击游戏中防止玩家作弊

---- 在射击游戏中防止玩家作弊前言本篇继续阅读学习《有趣的二进制：软件安全与逆向分析》，本章是在射击游戏中防止玩家作弊，学习内存转储和如何保护软件不被破解一、内存转储借用一个小游戏进行学习内存转储的知识...右键点击目标进程名称选择“创建转储文件” 4、通过转储文件寻找出错原因当程序崩溃时，最好能够第一时间启动调试器，但有些情况下无法做到这一点。...不过，即便在这样的情况下，只要我们留下了转储文件，也能够通过它来找到出错的原因用 WinDbg 来分析一下 chap02\guitest2 中的 guitest2.exe 的转储文件 user.dmp...004012d3 0fb7c6 movzx eax,si 于是我们发现了 bug 的原因： LoadLibraryW 函数的参数为 kernel31.dll，但实际上系统中没有 kernel31...函数返回了 00000000，于是 call eax 时进程就异常终止了这两小节就是用内存转储文件来看内容二、防止软件被别人分析 1、反调试技术这里说的反调试技术，主要是检测是否挂载了调试器，以及书里只给出了几种技术

7102 0

简直不要太硬了！一文带你彻底理解文件系统

在这些进程终止时，相关的信息应该保留下来，是不能丢失的。甚至这些应用程序崩溃后，信息也应该保留下来。第三个问题是，通常需要很多进程在同一时刻访问这些信息。...事实上，如果你能把每个文件都看作一个独立的地址空间，那么你就可以真正理解文件的概念了。进程能够读取已经存在的文件，并在需要时重新创建他们。...盘符可以显示存在也可以隐式存在，如果你想找指定位置的文件，那么盘符是显示存在；如果当一个进程打开一个文件时，此时盘符是隐式存在，所以 Windows 知道向哪个文件系统传递请求。...物理转储和逻辑转储物理转储的主要优点是简单、极为快速（基本上是以磁盘的速度运行），缺点是全量备份，不能跳过指定目录，也不能增量转储，也不能恢复个人文件的请求。...为了处理文件系统一致性问题，大部分计算机都会有应用程序来检查文件系统的一致性。例如，UNIX 有 fsck；Windows 有 sfc，每当引导系统时（尤其是在崩溃后），都可以运行该程序。

5541 0

红队技巧-绕过杀软dump-Lsass内存

前言 dump lsass 进程是我们永远都逃不过话题，除非微软那天不用它保存凭据了，自然而然就不dump 它了，抓密码是渗透重要的环节，是横向扩展的基础，接下来讲讲见到如何绕过杀软dump lsass...Lsass的克隆句来创建相同的混淆内存转储的一个实现，绕过windows defender dump lsass内存，但是现在应该不行了，但是国内的还是随便过的。...默认情况下，小型转储具有无效签名以避免检测通过忽略不相关的 DLL 来减小转储的大小，转储的大小往往在 10 MB 左右不需要提供 LSASS 的 PID（默认是不提供的）不调用dbghelp或任何其他库...，所有转储逻辑都在 nanodump 中实现可以使用 .exe 版本在 Cobalt Strike 之外运行nanodumpz 值得一提的是，这个项目能过windows defender 进行dump...可以看到在dump lsass内存的手法上免杀成功总结大概几点：系统调用实现大部分功能混淆内容使用命名管道传输结果，实现无文件不再调用dbghelp库文件小型转储，无明显特征热爱免杀

1.8K3 0

Dumping LSASS With No Mimikatz

虽然Windows 7和Server 2008现在已失去扩展支持，应尽可能停用，但许多组织仍有很大比例的工作站和服务器安装在这些旧版本的Windows操作系统上，这使得他们成为攻击者Mimikatz式LSASS...处理LSASS内存转储文件如果您在Windows机器上进行主要测试，那么这是一种很好的方法，否则您必须将转储文件复制到Windows机器上才能运行Mimikatz，确保在您使用Mimikatz的计算机上为...GUI访问权限，则可以使用Windows任务管理器创建转储文件，默认情况下Windows Defender不会对此发出警报，因此它是一个非常可靠的选项，但是这种方法的缺点是扩展性不好，速度相对较慢从任务管理器中转到...： PROCDUMP程序转储 Procdump是一个Windows系统内部工具，可用于创建进程的内存转储，这种方法的缺点是您必须将Procdump可执行文件复制到目标计算机，一些组织会警告该二进制文件是恶意的...WDigest时创建警报，则会迫使攻击者破解NTLM哈希或使用传递哈希技术，禁用或在传递哈希技术时发出警报会使LSASS转储攻击的效率大大降低，因为它将LSASS转储的攻击面减少到能够破解转储的NTLM

8772 0

breakpad概述

github地址官方网站功能特性崩溃转储崩溃分析跨平台：windows、mac、linux 可以运行于一系列架构的cpu上主要组件 client：集成到应用程序源码中，用于抓取崩溃信息，并生成...崩溃转储文件 coredump文件 Coredump叫做核心转储，它是进程运行时在突然崩溃的那一刻的一个内存快照。...linux内核提供的功能操作系统在程序发生异常而异常在进程内部又没有被捕获的情况下，会把进程此刻内存、寄存器状态、运行堆栈等信息转储保存在一个文件里 coredump生成的条件条件一：需要有信号产生...一些信号导致崩溃，不会产生core文件不能实时产生崩溃文件，必须进程终止时 minidump文件 minidump文件格式是由微软开发的用于崩溃上传各个组件详解 client client模块作为一个静态库将会与使用者的程序编译在一块...它的主要作用是在程序崩溃后，接管程序的异常处理主要做了两方面的事情: 响应程序崩溃时接收到的signal 获取程序崩溃那一刻的运行时信息，保存为一个minidump格式的文件内部原理：崩溃时线程可以异常了

1.7K5 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭