在 volatility2 以及 volatility3 beta 版本中,允许使用 procdump 来转储进程,
但这一插件在新版本的 volatility3 中被取消,我们应该使用:
python vol.py -f mydump.vmem -o <out_path> windows.memmap.Memmap --pid <pid> --dump
进行转储(本地测试有时候会失败),或者使用:
python vol.py -f mydump.vmem -o <out_path> windows.pslist.PsList --pid <pid> --dump
如果不加 -o <out_path> 参数即保存在当前路径下
