2

内存中有一个 IMViewer.exe 进程并打开它们文件 IMMAIL.IMM

vol.py -f d:\dump\dump\CRM-20180416-165859.dmp --profile=Win2012R2x64_18340 --kdbg=0xf80173c3f8e0 dlllist -p 8256 > dlllist.txt 

IMViewer.EXE pid:   8256
Command line : "C:\Program Files (x86)\Inbit\Inbit Messenger Server\IMViewer.exe" "C:\Program Files (x86)\Inbit\Inbit Messenger Server\USER_ACCT\00001\IMMAIL.IMM"
Note: use ldrmodules for listing DLLs in Wow64 processes
Base                             Size          LoadCount Path
------------------ ------------------ ------------------ ----
0x0000000000400000           0x208000                0x0 C:\Program Files (x86)\Inbit\Inbit Messenger Server\IMViewer.exe
0x00007ffca1a20000           0x1ad000                0x0 C:\Windows\SYSTEM32\ntdll.dll
0x0000000077850000            0x4b000                0x0 C:\Windows\SYSTEM32\wow64.dll
0x00000000777e0000            0x68000                0x0 C:\Windows\system32\wow64win.dll
0x00000000777d0000             0x9000                0x0 C:\Windows\system32\wow64cpu.dll

执行

vol.py -f d:\dump\dump\CRM-20180416-165859.dmp --profile=Win2012R2x64_18340 --kdbg=0xf80173c3f8e0 dumpfiles -r IMM$ -i --name -D FileHandles/

在内存中找不到文件 .IMM。

IMMAIL.IMM 文件已打开,我可以使用它,但它已从磁盘中删除,无法恢复。程序 IMViewer.EXE - 查看器和我无法保存文件 IMMAIL.IMM。我想在内存中找到文件 IMMAIL.IMM 并使用转储文件保存它,但找不到该文件。如何在内存中查找文件 IMMAIL.IMM?

4

1 回答 1

1

对此有点新,但这可能有助于`Vol.py -f {file} --profile{profile} filescan | grep .ILL [或程序的绝对名称] 并提取文件

于 2020-11-28T14:07:22.633 回答