Fiquei encucado esses tempos, pq não estava conseguindo fazer o dump de memória nele.
Utilizei vários programas, inclusive o DD para windows. Mas não consegui. O DD não rodava em cima do Vista. E não entendia porque.
Fui pesquisar sobre o DD e acabei descobrindo que após o Windows XP SP2, a Microsoft limitou o acesso a certas áreas de memória. Com isso, somente os device drivers conseguem fazer dump. O uso do DD para fazer dump de memória no WinXP SP2 (e acima dele) deixou de funcionar, e além disso, o device \\.\PhysicalMemory foi desabilitado neste utilitário.
fonte 1: http://gmgsystemsinc.com/fau/
fonte 2: http://technet.microsoft.com/en-us/library/cc787565%28WS.10%29.aspx
Continuei pesquisando sobre o assunto e achei um outro programa para fazer dump de memória, chamado: win32dd
No site da ferramenta, diz que existem 2 versões.
Encontrei em alguns sites o pessoal falando muito bem dele, dizendo que é até melhor que o próprio DD.
Acabei fazendo o download da versão free e instalei aqui no meu notebook (criei um diretório e descompactei os 2 arquivos lá dentro: win32dd.exe e o win32dd.sys).
O link pra fazer o download direto é: http://moonsols.com/component/jdownloads/view.download/3/2
No site da ferramenta, diz que existem 2 versões.
Encontrei em alguns sites o pessoal falando muito bem dele, dizendo que é até melhor que o próprio DD.
Acabei fazendo o download da versão free e instalei aqui no meu notebook (criei um diretório e descompactei os 2 arquivos lá dentro: win32dd.exe e o win32dd.sys).
O link pra fazer o download direto é: http://moonsols.com/component/jdownloads/view.download/3/2
Na hora de rodar e fazer o memory dump, novamente deu erro.
Eu não entendia a mensagem de erro pq dizia que eu precisava ter privilégios de administrador para ter acesso ao kernel-land (acessado somente pelo root do windows, ao contrário do user-land, acessado por qualquer usuário).
Detalhe: só existe um usuário cadastrado no meu notebook, e ele é administrador. Que por um acaso, é o que eu faço o login aqui na minha máquina. Ou seja, eu acesso como administrador no meu notebook, e o win32dd diz que eu não tinha privilégios de root.
A imagem1 mostra esse erro.
A imagem2 mostra através do comando net user que só existe um usuário cadastrado no meu notebook, e que ele é administrador.
Pesquisando sobre este erro, acabei descobrindo que a conta de administrador no Windows Vista vem desabilitada por default (apesar de ser classificada como administrador, ela não possui privilégios de root).
Resumindo: mesmo eu pertencer ao domínio de administradores, não tinha tais privilégios.
Resumindo: mesmo eu pertencer ao domínio de administradores, não tinha tais privilégios.
Eu tinha que fazer alguma coisa para conseguir rodar o win32dd. E fui pesquisar novamente sobre o erro que estava dando.
E achei o seguinte tutorial:
E achei o seguinte tutorial:
- vá em iniciar;
- depois vá em acessórios, e depois em prompt de comando;
- clique com o botão direito em cima de prompt de comando e escolha a opção : executar como administrador (imagem 3);
- escreva no prompt de comando aberto: net user [nome da conta que apareceu na imagem 2]
/active:yes
O que ele faz é ativar a conta de administrador do Vista, que vinha desabilitada por default.
Assim, meu problema teria sido resolvido parcialmente. Faltava agora rodar o win32dd e fazer o dump da memória.
Depois eu fiz o seguinte:
- usando o prompt, entrei no diretório onde está o win32dd;
- depois, digitei: win32dd.exe /d /f
A imagem4 mostra o win32dd rodando.
Nenhum comentário:
Postar um comentário