Process Dump

Process Dump 适用于 Windows 32 和 64 位操作系统，可以从特定进程或当前运行的所有进程转储内存组件。Process Dump 支持创建和使用干净哈希数据库，以便可以跳过所有干净文件（例如 kernel32.dll）的转储。其主要特点包括： 从特定进程或所有进程转储代码。 查找并转储进程中未正确加载的隐藏模块。 查找并转储松散的代码块，即使它们不与 PE 文件关联。它为块构建 PE 标头和导入表。 使用积极的方法重建进口。 可以在关闭转储监视器模式（'-closemon'）下运行，其中进程将在终止之前暂停并转储。 多线程，因此当您转储所有正在运行的进程时，它会很快运行。 可以生成一个干净的哈希数据库。在计算机感染恶意软件之前生成此文件，因此Process Dump 将仅转储新的恶意软件组件。

Process Dump 是一款适用于 Windows 系统的逆向工程工具，能够将特定进程或所有正在运行进程的内存组件转储到磁盘进行分析，尤其擅长处理恶意软件内存组件。它通过积极的导入重建方法简化分析，并支持跳过已知干净文件的转储。