Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps\FlightSimulator.exe]
"DumpFolder"=hex(2):43,00,3a,00,5c,00,52,00,65,00,61,00,6c,00,69,00,74,00,79,\
00,58,00,50,00,00,00
"DumpCount"=dword:00000002
"DumpType"=dword:00000002
应用程序抓.dmp,其实是微软操作系统自带的功能。当某个.EXE运行时崩溃了,WINDOWS系统会查询以上注册表,还确认如何存储崩溃的DMP文件。
上面只是拿微软模拟飞行这个大型软件做个例子,其实任何第三方EXE都可以让WINDOWS系统自动帮你监控应用的运行情况。
最上面注册表中,允许最多抓2个DMP文件,PS,每个将近18GB大小,太狠了。
抓取类型2是抓完整内存镜像