Die von Microsoft kostenlos bereitgestellten Kernel-Debugger für GUI und Konsole bieten in Verbindung mit dem ebenfalls kostenlosen Tool LiveKd der Sysinternals eine Alternative zur Akquisition mit dd.
Im Prinzip passen alle benötigten Werkzeuge auf einen USB-Stick, so wie vormals der dd. Wenn man nicht gerade ein "Big Iron" untersucht, bietet ein aktueller Stick auch ausreichend Platz zur Aufnahme des Speicherabbilds. Die Veränderungen am System sind damit begrenzt und über die ID des USB-Sticks auch gut nachvollziehbar.
Leider verlangt der Debugger jedoch einige Symboldateien. Benötigt werden offenbar die Symbole (.pdb) für ntdll.dll und ntoskrnl.exe beziehungsweise den jeweils geladenen Kernel (SMP, PA). Diese sollten auf einem separaten System auf den Stick gespeichert werden, um unnötige Veränderungen auf dem zu untersuchenden System zu vermeiden. In Umgebungen mit zahlreichen absolut identischen Betriebssysteminstallationen sollte dies möglich sein; bei unterschiedlichen Betriebssystemversionen steigt der Vorbereitungsaufwand für die Untersuchung aber erheblich an.
Ich meine übrigens absolut identische Betriebssystemversionen. Entscheidend ist mindestens die genaue Versionsnummer und Zeitstempel des Kernels, in der Regel also der Datei ntoskrnl.exe. Eine Unterscheidung nach Service Packs reicht hier nicht aus. Neue Kernel-Images können mit jedem Hotfix geliefert werden.
LiveKd muss mit Administratorrechten ausgeführt werden.
