场景:将 dump 下来的 windows 进程内存中的数据内容,以明文形式还原。
利用工具:
首先我打开记事本,写入以下内容:
并使用 CMD tasklist 命令来查看进程情况。可以看到,notepad.exe 已经成功打开。
接着我们使用 procdump 将 noetpad.exe 的进程数据 dump 下来,并保存为 notepad.dmp 文件:
procdump.exe -ma notepad.exe notepad.dmp
成功 dump 进程数据!
下面我们使用 strings 将 dmp 文件导出成 txt 文本文件:
strings.exe notepad.dmp > notepad.txt
使用 dir 查看是否导出成功。可以看到,已经成功导出数据并保存!
双击打开该文本文件,使用 Ctrl+F 来查找关键字 http://www.secist.com 很快就搜索到了我们之前保存的内容!
