c++ - 如何创建另一个进程内存的二进制/十六进制转储？

Question

我找不到将另一个进程的内存转储到文件的合理方法。

经过大量搜索，我在 CodeProject 上找到了一篇不错的文章，它具有我想要的*大部分*功能: Performing a hex dump of another process's memory.这很好地解决了权限问题并奠定了良好的基础。

但是，使用此实用程序，我发现即使是一个小进程，如干净的 Notepad.exe 或 Calc.exe 实例，也可以生成大小超过 24MB 的转储文件，而进程本身在内存中运行不到 20KB根据 TaskManager。

这篇文章让我相信，也许它也在共享内存中转储东西，可能是 DLL 空间等。例如，Calc.exe 的转储将包括包含来自 Kernel32.dll 的方法名称(可能还有内存)的部分:

²³´µKERNEL32.dll ActivateActCtx AddAtomA AddAtomW AddConsoleAliasA AddConsoleAliasW AddLocalAlternateComputerNameA AddLocalAlternateComputerNameW AddRefActCtx AddVectoredExceptionHandler AllocConsole AllocateUserPhysicalPages AreFileApisANSI AssignProcessToJobObject AttachConsole BackupRead BackupSeek BackupWrite BaseCheckAppcompatCache BaseCleanupAppcompatCache

---

是否有更好的方法来转储不会导致此开销的另一个进程的内存，或者可能是对解决此问题的链接文章代码的改进？我想获得实际上属于进程本身的内存。我可以转储实际在 DLL 中使用的函数的内存空间，但似乎没有必要转储多个 DLL 的*全部*内容以获取进程的运行内存。

我正在寻找一种方法来获取 30KB 进程的 30-60KB，而不是 30KB 进程的 25MB。或者至少比我目前能得到的更近。

在此先感谢您的建议和指导，不胜感激。

注意:这是针对控制台实用程序的，因此 CodeProject 文章中的 GUI 元素并不重要。

Answer 1

您基本上是在请求用户进程小型转储。 Windows 调试帮助程序库有一个现成的函数，MiniDumpWriteDump .

对 MINIDUMP_TYPE 的小型转储中包含的详细信息量进行粗略控制。传递给函数的参数。最基本的，MiniDumpNormal，只会捕获进程中每个线程的调用堆栈。对于其他小型转储类型，内存量会逐渐变得更加详细。

您还可以通过向 MiniDumpWriteDump 函数提供回调来精细控制要写入小型转储的信息量，并在回调中设置 MINIDUMP_CALLBACK_OUTPUT 上的标志> 结构。

生成的小型转储可以是 read使用 Windbg 或 Visual Studio 等调试器，或者它们可以由 various functions in the dbghelp.dll 处理图书馆。