我如何拍摄流程的快照以保留其状态以供将来调查？这可能吗？

Question

这是否可能我不知道，但它会非常有用！

我有一个定期失败的进程（在Windows 2000中运行）。然后我只有一次机会对它做出反应，然后再重新启动它并痛苦地等待它再次失败。我没有写过程，所以没有源代码进行调试。失败似乎是随机的。

通过对过程的快照，我可以反复快速测试对失败的反应。

我曾想过在VM内部运行，但在这种情况下这是不可能的。

编辑： @Jon Cage问：

  

当你说快照时，你的意思是捕获一个即将失败的进程（包括内存，程序状态等等）...然后重复重复最后几秒，看看它对其他一些有什么影响零件？

这正是我的意思！

Answer 1

我认为您正在寻找 minidump 。

你也可以使用用户转储：

  

用户模式流程转储程序   （userdump）转储任何正在运行的Win32   处理记忆图像（包括   系统进程，如csrss.exe，   winlogon.exe，services.exe等）   苍蝇，没有附加调试器，   或终止目标进程。   可以分析生成的转储文件或   使用标准调试   调试工具。

文章向您展示如何使用它。

Answer 2

我最好的办法是在调试器中启动该过程（ OllyDbg 是我的首选工具）。 该过程将暂停异常，您可以尝试弄清楚之前不久发生的事情。

这需要对汇编程序有所了解，并且不允许创建进程的快照以供以后分析。您需要为此编写自己的调试器 - 理论上应该是可行的。