Windows Vista任務管理器新玩法

　　Windows Vista任務管理器的變化大家應該有目共睹，支持進程路徑顯示、服務查看。今天我們就談論一下新增的『創建轉儲文件』功能。這個功能可以從內存中獲取相關進程的轉儲Dump映像文件。Dump文件有什麼作用呢？

　　通過分析轉儲Dump映像文件我們可以使用ida這類靜態調試器分析原始程序執行代碼(脫殼的原始文件) 1.分析病毒2.調試程序。我們切換到Windows Vista任務管理器的『進程』頁面。選擇需要轉存的進程，單擊鼠標右鍵在彈出的快捷菜單中選擇『創建轉儲文件』如圖：

圖1

　　這時Windows Vista的任務管理器會從相應進程的內存空間中映射出原始進程文件，如圖2：

圖2

　　最後轉儲的進程文件會保存到X：\User\安裝用戶名\AppData\Local\Temp文件夾中，轉儲後的文件為DMP後綴如圖：

圖3