Windows Vista任务管理器新玩法

　　Windows Vista任务管理器的变化大家应该有目共睹，支持进程路径显示、服务查看。今天我们就谈论一下新增的“创建转储文件”功能。这个功能可以从内存中获取相关进程的转储Dump映像文件。Dump文件有什么作用呢?
　　通过分析转储Dump映像文件我们可以使用ida这类静态调试器分析原始程序执行代码(脱壳的原始文件) 1.分析病毒 2.调试程序。我们切换到Windows Vista任务管理器的“进程”页面。选择需要转存的进程，单击鼠标右键在弹出的快捷菜单中选择“创建转储文件”如图:

图1

　　这时Windows Vista的任务管理器会从相应进程的内存空间中映射出原始进程文件，如图2：

图2

　　最后转储的进程文件会保存到X:\User\安装用户名\AppData\Local\Temp文件夹中，转储后的文件为DMP后缀如图：

图3