Boldar - Di 29.07.14 15:47
Titel: .dmp Datei format

---

Hi,
nach stundenlangem Googeln frage ich mal hier: Weiss jemand, wie das Format von den .dmp Dateien ist, die man mit dem Taskmanager erstellen kann?
Ich weiss schon, dass man die mit dem Windows debugger öffnen kann. Ich möchte aber selber (mit einem eigenem Programm) darin suchen und vorallem die pointer-adressen zuordnen.
Das scheint allerdings so ein proprietäres Format zu sein, dass niemand kennt.
lg Boldar

Th69 - Di 29.07.14 16:01

---

Hallo,

hier mal ein Anfang: DMP File Structure [http://computer.forensikblog.de/en/2006/03/dmp-file-structure.html]

PS: "Stundenlanges Googeln"? Ich habe nach ".dmp file format" gesucht und sofort obige Seite erhalten. ;-)

Boldar - Di 29.07.14 16:32

---

Das hatte ich schon gesehen, ist aber das format der kernel-Dumps und nicht der User-Dumps. Das scheint noch irgendwie anders zu sein.

Th69 - Di 29.07.14 18:06

---

OK, hast Recht.
Diese Taskmanager-DMP-Dateien haben als Header "MDMP" und sind User-Mode Dump Files [http://msdn.microsoft.com/en-us/library/windows/hardware/ff560033%28v=vs.85%29.aspx].

Unter Minidumps [http://msdn.microsoft.com/en-us/library/windows/hardware/ff552212%28v=vs.85%29.aspx] steht dann

MSDN hat folgendes geschrieben:

For details on the internals of minidump files, see the DbgHelp Reference in the Microsoft Windows SDK.

So wie ich das verstehe sind die Full User-Mode Dumps [http://msdn.microsoft.com/en-us/library/windows/hardware/ff545506%28v=vs.85%29.aspx] nur eine Variante der Minidumps.

Probiere also mal die DbgHelp functions for Minidump Files [http://msdn.microsoft.com/en-us/library/windows/desktop/ms680369%28v=vs.85%29.aspx] aus, ob du sie damit lesen kannst (evtl. doch die Fulldumps mit dem dump Befehl konvertieren).

Boldar - Sa 02.08.14 18:14

---

Vielen dank, habs nun hinbekommen, wenn auch etwas anders: HxD kann auch memorydumps erstellen, die dann eine 1:1 Kopie enthalten. Die Datei ist dann zwar 4gb gross, war aber für meine zwecke ausreichend.