Procdump是微软定位程序问题的工具,免费的,不是商业引流一、官方下载:https://docs.microsoft.com/en-us/sysinternals/downloads/procdump...跳转到 https://learn.microsoft.com/en-us/sysinternals/downloads/procdump或者直接从live.sysinternals.com下载http...://live.sysinternals.com/procdump.exehttp://live.sysinternals.com/procdump64.exe二、命令行用法wmic process where
ProcDump是一个可以用于诊断多种问题点的命令行工具。和Dr.Watson、ADPlus以及DebugDiag一样,ProcDump可以在不期望的情况或者异常发生时,用于俘获一个进程的内存转储。...ProcDump包括一个单独的可执行文件(procdump.exe),而这个文件可以接受多种不同的参数。当不带任何参数时,ProcDump工具会在保持应用程序执行的情况下,强制进行一个内存转储。...通过使用-h参数,ProcDump会检测一个挂起的Windows应用程序,并强制进行内存转储。这与ADPlus和DebugDiag中的功能很相似。...使用-e参数可以使得ProcDump去检测应用程序的一个未处理的异常,并获取进程转储。通过接下来对进程转储的分析,您可以弄清哪些程序、DLL以及错误情况在中断时发生了。...让ProcDump和之前的工具与众不同的是,它可以检测CPU峰值,并在达到时,收集进程转储。对于别人无法干预的间歇性问题,这是非常有用的。
(Windows) ProcDump是一个命令行工具,当应用程序假死或进程使用太多的 CPU 时,可以生成一个 Dump 文件。...下载 ProcDump: ProcDump[4] 使用进程名或者进程 Id 创建 dump procdump notepad procdump 4572 调试诊断工具 调试诊断工具允许在满足某个条件时生成一个转储文件...下载 ProcDump for Linux: ProcDump For Linux[9] 使用进程名或者进程 Id 创建 dump procdump 4572 Azure App Services...WT.mc_id=DT-MVP-5003978 [4] ProcDump: https://learn.microsoft.com/en-us/sysinternals/downloads/procdump...WT.mc_id=DT-MVP-5003978#install [9] ProcDump For Linux: https://github.com/microsoft/ProcDump-for-Linux
2.ProcDump.exe ProcDump是一个可以用于诊断多种问题的命令行工具,它可以在没有任何异常发生的时候, 捕获Dump用于分析。...比如系统或App没有发生crash或hang,但是在某个阶段中CPU占用率超高,这个时候就可以用ProcDump来设置条件捕获Dump用于找出哪个进程是造成CPU占用率高的原因。...ProcDump的下载地址为ProcDump下载及介绍 ,在同一页中还有对于ProcDump的命令的详细说明。...如图是一个实际使用的例子,在cmd窗口,进入ProcDump.exe文件夹,输入命令procdump.exe -ma 6612, 就可以获取Process ID为6612的Full Dump文件。...对于ProcDump的进一步了解可以阅读下载页面上的介绍,也可以参照介绍一个好用的抓取dump的工具-ProcDump 3.DebugDiag 2 collection 这是Debug Diagnostics
可以自定义转储文件位置 3.0ProcDump Sysinternals工具ProcDump.exe可能是恶意软件最常使用的工具,因为它具有命令行功能,并且不专门用于转储LSASS进程,因此,它会将LSASS...可以在微软中下载 https://docs.microsoft.com/en-us/sysinternals/downloads/procdump 语法 procdump.exe -ma lsass.exe...使用“ -r”开关将ProcDump创建lsass.exe的克隆并将其转储到磁盘 procdump.exe -ma -r lsass.exe [文件位置] ?...-i Install ProcDump as the AeDebug postmortem debugger....As the only option, Uninstalls ProcDump as the postmortem debugger.
---- 01、Procdump+Mimikatz 利用procdump+Mimikatz 绕过杀软获取Windows明文密码。...(1)工具准备: ProcDump: https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump mimikatz: https:/.../github.com/gentilkiwi/mimikatz/ (2)Windows Server 2008 R2提取明文密码 在目标机器上生成存储文件: procdump64.exe -accepteula
(4) 常见工具:Mimikatz、Invoke-Mimikatz、procdump、sqldump、sharpdump 0x03Sysmon 简介和使用 System Monitor (Sysmon...0x04获取系统口令 1) procdump+mimikatz 获取系统凭证详细步骤: 步骤一、procdump是微软的进程分析工具,用于针对目标主机系统进程进行打包,工具下载地址:https://docs.microsoft.com.../zh-cn/sysinternals/downloads/procdump。...将procdump.exe 上传至目标主机,并执行: procdump.exe -accepteula -ma lsass.exe lsass.dmp 步骤二、将lsass.dmp 回传至本地,通过mimikatz...0x05常见进程转储方式 (1) procdump方式 Procdump是一个轻量级的Sysinternal团队开发的命令行工具, 它的主要目的是监控应用程序的CPU异常动向, 并在此异常时生成crash
这里我们常用Procdump配合猕猴桃来绕过杀软的检测。...Procdump下载地址[8]: https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump[9] Procdump是微软官方推出的一款工具..., 主要用于桌面应用开发人员对应用的一些检测处理,我们使用Procdump实现的主要功能是将正在运行的程序生成静态文件 方便我们进行分析操作,我在上述介绍中提过,处理我们密码的程序是lsass.exe,...32位系统导出命令: procdump.exe -accepteula -ma lsass.exe lsass.dmp64位系统导出命令: procdump.exe -accepteula -64 -ma...下载地址:*https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump*[17] [16]LaZagne下载地址:*https://
发现使用 procdump 或者任务管理器转储内存的行为 mimikatz 等获取密码的工具很容易被杀毒软件报毒,有一种更好的解决方案是使用 Procdump 或者任务管理器转储lsass进程的内存至文件...这样做之所以不容易被杀毒软件发现是因为Procdump和任务管理器都是具有微软签名的可信程序。 ?...Procdump 或者任务管理器通过 dbghelp.dll 或者 dbgcore.dll 来调用内存转储写入函数——MiniDumpWriteDump。...3、 如图所示,使用 procdump 转储内存。 ?...sysmon 监控到的 procdump 转储进程内存的日志,同样调用了“C:\WINDOWS\SYSTEM32\dbgcore.DLL”: ?
利用 procdump & mimikatz 获取密码 实验环境: windows 7 procdump // https://docs.microsoft.com/zh-cn/sysinternals.../downloads/procdump mimikatz_trunk 实验步骤: 1、首先用 procdump 下载 LSASS 进程的内存,因为 procdump 是 Microsoft Sysinternals...tools 中的工具,所以 AV 是不会查杀它的(记住用管理员运行 cmd ) C:\Users\times0ng\Desktop\Procdump\procdump.exe -accepteula
0x02 Mimikatz+Procdump ProcDump 是微软官方发布的一款命令行实用工具,可以绕过大多数的防护软件,该工具可以把lsass的内存dump下来,其中lsass进程里存放了Windows...下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump 把Procdump上传至受害目标系统上,使用该工具将lsass...的内存dump保存,执行如下命令: procdump.exe -accepteula -ma lsass.exe lsass.dmp 然后将lsass.dmp导出到攻击者的本地电脑上,再利用Mimikatz
前面说过,mimikatz是从 lsass.exe进程中获取windows的账号及密码的, 这时,我们可以帮对方安装一个procdump64.exe(这是微软自己的工具,可以放心使用) 然后从 lsass.exe...1、安装procdump64.exe 2、从procdump64.exe里导出lsass.dmp procdump64.exe -accepteula -ma lsass.exe lsass.dmp 3
此时可以用到 ProcDump 工具辅助,在应用启动时候的时候,将失败时做一个 DUMP 文件,然后咱就可以将这个 DUMP 传回开发的设备上慢慢进行分析 这个 ProcDump 是微软极品工具箱的一个很有名的工具...官方下载地址: https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump 根据官方文档可以了解到使用方法是在命令行使用如下参数,...即可做到在应用因为异常挂掉自动捕获 DUMP 文件 procdump.exe -e -t -w -ma 参数的含义如下 -e : 当进程遇到未经处理的异常时写入转储 -t : 进程终止时写入转储...大部分时候都是先运行 ProcDump 工具,然后再启动应用,这样 ProcDump 相当于监控应用启动失败或退出。...如此即可采用 ProcDump 启动进程调试应用启动闪退 -ma : 获取的是 Full Dump 文件,也就是包含所有内容的 DUMP 文件,虽然这个 DUMP 比较大,但是调试会根据方便。
接下来使用ProcDump.exe提取filefox的进程文件,其中firefox的pid为6804。...首先上传ProcDump.exe,我们可以从微软官网得到下载链接https://docs.microsoft.com/en-us/sysinternals/downloads/procdump 然后将procdump.exe.../procdump.exe -mp 6804 导出对应的进程文件。 ?
---- 使用 Mimikatz 离线读取 lsass.dmp 文件 (1)导出lsass.dmp文件 通过 procdump.exe 文件导出lsass.dmp文件 procdump 下载地址:https...://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump 在命令行输入命令会生成一个 lsass.dmp 文件: procdump.exe
(2)Procdump转储 procdump是微软官方提供的一个小工具,可以将lsass.exe进程转储为dump文件,将lsass.dmp文件下载到本地进行离线解析。...Procdump64.exe -accepteula -ma lsass.exe lsass.dmp 在Windows事件ID:4663 中,可以看到进程名Procdump64.exe 尝试访问内存对象
使用procdump 很多时候安装adplus需要安装windbg或者WDK不是很方便,也可以直接使用procdump这个工具。在微软Sysinternals可以下载。...procdump.exe -ma test.exe -t -e -o C:\dumps 当然也可以指示进程的ID去获取dump。...有一种场景,当进程启动过程中或者启动一会儿就Crash,那么用Adplus就不适合,因为Adplus得进程启动后才能使用,那么可以用procdump如下命令, 等待test.exe启动,然后抓取dump...procdump.exe -ma -w test.exe -t -e -o C:\dumps 使用Windbg产生Dump 这是博主最喜欢的方式,因为windbg基本可以抓到所有场景下的dump:运行时
白名单文件dump 首先说三个微软签名的白名单程序 Procdump.exe SQLDumper.exe createdump.exe Procdump.exe(no) 尽管procdump拥有微软签名...procdump.exe -ma lsass.exe 1.txt SQLDumper.exe也是一样的 createdump.exe(no) createdump.exe随着.NET5出现的,本身是个
蓝军技术推送 [文章推荐] Extract credentials from lsass remotely(从lsass远程提取凭证) 文章看点:本文主要讲述从手动procdump+mimikatz提取凭证到...推送亮点:此文从开始的Procdump+mimikatz-->Procdump+pypykatz-->comsvcs.dll+pypykatz->CrackMapExec模块,在代码层次来详细讲述CrackMapExec
白名单文件dump 首先说三个微软签名的白名单程序 Procdump.exe SQLDumper.exe createdump.exe Procdump.exe(no) 尽管procdump拥有微软签名...[image-20220411151942096.png] procdump.exe -ma lsass.exe 1.txt [image-20220411151730646.png] SQLDumper.exe
领取专属 10元无门槛券
手把手带您无忧上云