Process-Dump 项目安装与使用教程

1. 项目目录结构及介绍

Process-Dump 是一个用于 Windows 的命令行工具，主要用于从内存中提取恶意软件组件并将其转储到磁盘以进行分析。以下是项目的目录结构及其介绍：

Process-Dump/
├── github/
│   └── workflows/
├── gitignore
├── LICENSE
├── README.md
├── pd.sln
└── pd/
    ├── pd.cpp
    ├── pd.h
    ├── ...

• github/workflows/: 包含 GitHub Actions 的工作流配置文件。
• gitignore: 指定 Git 忽略的文件和目录。
• LICENSE: 项目的开源许可证文件。
• README.md: 项目的介绍和使用说明。
• pd.sln: Visual Studio 2019 的项目解决方案文件。
• pd/: 包含项目的源代码文件，如 pd.cpp 和 pd.h。

2. 项目的启动文件介绍

Process-Dump 的启动文件是 pd.sln，这是一个 Visual Studio 2019 的项目解决方案文件。通过打开这个文件，用户可以使用 Visual Studio 2019 编译和运行项目。

编译步骤

1. 下载并安装 Visual Studio 2019（社区版免费）。
2. 打开 pd.sln 文件。
3. 在 Visual Studio 中选择“生成”菜单，然后选择“生成解决方案”。

编译成功后，会在输出目录中生成可执行文件 pd.exe。

3. 项目的配置文件介绍

Process-Dump 项目没有传统的配置文件，但其功能可以通过命令行参数进行配置。以下是一些常用的命令行参数：

• -system: 从所有可访问的进程中转储与干净哈希数据库不匹配的所有模块。
• -pid : 指定要转储的进程 ID。
• -closemon: 在进程终止前暂停并转储进程。
• -db gen: 生成干净的排除哈希数据库。

示例用法

pd -system
pd -pid 419
pd -pid 0x1a3
pd -pid 0x1a3 -a 0x401000 -o c:\dump\ -c c:\dump\test\clean.db
pd -p chrome.exe
pd -p "(i)*chrome*"
pd -closemon

通过这些命令行参数，用户可以灵活地配置 Process-Dump 的行为，以满足不同的需求。