一、    生成Dump文件方法

1.1任务打点器

在措施瓦解后，先不封锁措施，在任务打点器中找到该措施对应的进程。右键—>创建转储文件。

此时会在默认的目录下创建出一个dump文件。

可以看出，此种要领只适用于措施瓦解但没有当即自行退出的情况。倘若措施故障后自行退出，则此要领就难以应用。不过，我们可以在注册表中添加如下信息已确保系统在措施瓦解后自行生存一个dump文件：

在注册表中找到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\WindowsError Reporting\LocalDumps

添加项如下图：

此中DumpType代表的含义是：

0 = Create a custom dump  
1 = Mini dump  
2 = Full dump  

如此一来，一旦措施瓦解，系统会在C:\CrashDump下生成一个dump文件。

1.2WinDbg抓取

措施运行瓦解后，先不封锁措施，将WinDbg附加到改造程上。

执行命令：.dump –ma Test.dmp  ，则会孕育产生一个Test.dmp的转储文件。