NativeDumper

有时候我们看到进程里面有很多程序正在运行，怎么可以知道他们进应的模块（DLL文件）有哪些，怎么可以把进程导出？今天极速小编为你介绍一款小工具，它可以查看任意进程正在调用的DLL文件，还有可以将进程另存为一个EXE可执行文件，需要的网友可以下载试试。

NativeDumper 是一款内存进程转储工具，可将内存中正在运行的进程转储为一个可执行文件。只需右键点击一个进程，选择“转储主模块”或“模块”枚举模块，选择目标模块后，点击鼠标右键选择“转储”即可。NativeDumper 优于其它转储工具，可减小转储文件的大小。

功能介绍

– 原始 raw：不要对区段的 Raw（原始地址和原始大小）进行任何更改。请注意，此选项对 99% 的打包（加壳）器/保护器的操作将会失败。适用于 Spoon Studio 等应用程序虚拟化，可从内存中获取原始的后备模块。
– RAW=VA：设置 RAW 地址 = 虚拟地址和原始大小 = 区段的虚拟大小，使用此选项您将得到一个工作转储，但转储的文件会很大。
– 计算 raw：最好的选择，将尝试重新计算原始地址和原始大小。

软件特色

– 取整原始大小：实际上是不需要的，将区段的原始大小四舍五入到文件对齐的某个倍数。
– 当前 EIP：更改入口点，您应该停止 Olly 或其它调试器的旧入口点。
– 区段信息：内存或文件。

显示进程

进程名称 PID
<未知> 4
smss.exe 328
csrss.exe 500
wininit.exe 556
csrss.exe 564
services.exe 612
winlogon.exe 648
lsass.exe 676
lsm.exe 684
svchost.exe 780
svchost.exe 856
svchost.exe 936
...

使用说明

1.下载完成后先解压，不要直接在压缩包下面运行程序。
2.如果无法正常打开，可以尝试右键选择“以管理员身份运行”。