在 volatility2 以及 volatility3 beta 版本中,允許使用 procdump 來轉儲進程,
但這一插件在新版本的 volatility3 中被取消,我們應該使用:
python vol.py -f mydump.vmem -o <out_path> windows.memmap.Memmap --pid <pid> --dump
進行轉儲(本地測試有時候會失敗),或者使用:
python vol.py -f mydump.vmem -o <out_path> windows.pslist.PsList --pid <pid> --dump
如果不加 -o <out_path> 參數即保存在當前路徑下
