Dieser kurze Beitrag enthält wieder eine Ergänzung für die Datei magic(5), mit deren Hilfe das Dienstprogramm file(1) Speicherabbilder im Microsoft Crashdump-Format identifizieren kann. Auf diese Weise lässt sich auch leicht erkennen, ob die Datei pagefile.sys ein Speicherabbild enthält.
Hier ist zunächst der Abschnitt für die Datei magic(5):
0 string PAGEDUMP >0xf88 lelong 1 Microsoft Windows full memory dump >0xf88 lelong 2 Microsoft Windows kernel memory dump >0xf88 lelong 3 Microsoft Windows small memory dump >0x068 lelong x \b, %d pages
Nach dem Erstellen eines Crashdumps wird das System nicht wieder gestartet und die Auslagerungsdatei pagefile.sys zum Beispiel mit Hilfe von EnCase oder dem kostenlosen FTK Imager kopiert. file(1) identifiziert nun das in der Auslagerungsdatei enthaltene Speicherabbild:
$ file pagefile.sys pagefile.sys: Microsoft Windows full memory dump, 32653 pages
Jetzt lässt sich das Speicherabbild einfach mit dd extrahieren. Die Blocksize (bs) wird hierzu auf 4096 Bytes, die Größe einer Speicherseite, eingestellt. Die Anzahl der zu kopierenden Blöcke ist die von file(1) gemeldete Größe des Speicherabbilds zuzüglich eines weiteren Blocks für den Dateiheader:
$ dd if=pagefile.sys of=memory.dmp bs=4096 count=32654 32654+0 Datensätze ein 32654+0 Datensätze aus 133750784 Bytes (134 MB) kopiert, 5,79681 s, 23,1 MB/s
Damit ist es nun nicht mehr erforderlich, das System nach der Sicherung der Festplatte zu starten, um das Speicherabbild durch savedump.exe erstellen zu lassen.
