我对ProcDump(一个Sysinternals实用程序)的内部感兴趣:它本质上是一个调试器吗?它如何设法在异常,第一次机会异常甚至托管(CLR)异常上转储进程?
我可以看到它有来自kernel32.dll的DebugActiveProcess等导入。它的字符串也包含CLR库的名称,所以我假设它动态加载它们以使用CLR调试API(虽然我没有在字符串中看到mscordbi.dll - 我应该吗?)。
答案 0 :(得分:3)
在使用IDA Pro查看ProcDump之后,我将尝试对我自己的问题给出一个基本的答案。
至少对于非托管方,ProcDump似乎使用了Win32调试API:它使用DebugActiveProcess和WaitForDebugEvent&的调试循环。 ContinueDebugEvent。然后,根据启动参数,它可以例如检查异常并将ReadProcessMemory中的内容转储到IO设备中。