标签: c++ windows vmware virtual-machine
我需要分析我在vmware映像上的一些恶意软件(vmware是虚拟机),特别是我需要对某个进程进行完全转储。我知道vmware在暂停时会将整个RAM写入.vmem文件。拍摄图像的平台是Windows XP。我知道有一些工具可以做到这一点,但它们大多是封闭源或不适用于Windows XP。我需要在合理的时间内完成(如果可能的话,在一秒钟内完成)并从我自己的C ++程序运行它,任何帮助都会非常感激。
答案 0 :(得分:2)
您似乎要求从已挂起的VM与进程及其内存进行交互。
提供一些法医工具。这看起来很有希望:
http://code.google.com/p/volatility/