版本:1.0
大小:14 KB
环境:PC端
日期:2018- 1-29
有时候我们看到进程里面有很多程序正在运行,怎么可以知道他们进应的模块(DLL文件)有哪些,怎么可以把进程导出?今天极速小编为你介绍一款小工具,它可以查看任意进程正在调用的DLL文件,还有可以将进程另存为一个EXE可执行文件,需要的网友可以下载试试。
NativeDumper 是一款内存进程转储工具,可将内存中正在运行的进程转储为一个可执行文件。只需右键点击一个进程,选择“转储主模块”或“模块”枚举模块,选择目标模块后,点击鼠标右键选择“转储”即可。NativeDumper 优于其它转储工具,可减小转储文件的大小。
功能介绍
– 原始 raw:不要对区段的 Raw(原始地址和原始大小)进行任何更改。请注意,此选项对 99% 的打包(加壳)器/保护器的操作将会失败。适用于 Spoon Studio 等应用程序虚拟化,可从内存中获取原始的后备模块。
– RAW=VA:设置 RAW 地址 = 虚拟地址和原始大小 = 区段的虚拟大小,使用此选项您将得到一个工作转储,但转储的文件会很大。
– 计算 raw:最好的选择,将尝试重新计算原始地址和原始大小。
软件特色
– 取整原始大小:实际上是不需要的,将区段的原始大小四舍五入到文件对齐的某个倍数。
– 当前 EIP:更改入口点,您应该停止 Olly 或其它调试器的旧入口点。
– 区段信息:内存或文件。
显示进程
进程名称 PID
<未知> 4
smss.exe 328
csrss.exe 500
wininit.exe 556
csrss.exe 564
services.exe 612
winlogon.exe 648
lsass.exe 676
lsm.exe 684
svchost.exe 780
svchost.exe 856
svchost.exe 936
...
使用说明
1.下载完成后先解压,不要直接在压缩包下面运行程序。
2.如果无法正常打开,可以尝试右键选择“以管理员身份运行”。