我读过HBGary 的 FastDump Pro (FDPro) 可以捕获内核转储并包含页面文件内容。
虽然我不确定这个工具是否还在商业上可用(它没有在countertack.com网页上列出),但我想知道 FastDump Pro 创建的文件格式是否与 WinDbg 兼容,或者我是否需要其他工具来分析它(HBGary/Counterack 工具)。
如果它们兼容,我认为将页面文件内容包含在转储中会有一些好处,因为这将提供从内核转储调试 .NET 应用程序的可能性,这通常是不可能的,因为虚拟的一部分内存已被调出。
来自http://cfile10.uf.tistory.com/attach/1237FF424DB038D6045F5D:
FDPro 能够以两种格式导出。第一种格式是带有“.bin”扩展名的行业标准 DD RAW 格式。这个过程只是物理内存的字面量从 0 到 max_mem_size 的转储。可用的第二种格式称为 HPAK。HPAK 是一种 HBGary 专有格式,具有多项关键功能,即能够在单个存档中存储和存档 RAM 和页面文件。HPAK 格式还支持使用 gzip 格式进行压缩。这在收集设备/系统上的空间有限的情况下很有用。
因此,任何能够处理原始物理内存转储的工具都应该能够处理 FDPro 的 .bin 文件。
至于 .hpak 文件,来自https://books.google.com/books?id=5hvSrBGVfIgC:
只有 HBGary 的 Responder 产品可用于分析 .hpak 格式的内存转储