抓取電腦內存文件

㈠ 怎麼查看電腦內存

內存(Memory)也被稱為內存儲器和主存儲器，其作用是用於暫時存放CPU中的運算數據，以及與硬碟等外部存儲器交換的數據。

內存是計算機中重要的部件之一，它是與CPU進行溝通的橋梁。計算機中所有程序的運行都是在內存中進行的，因此內存的性能對計算機的影響非常大。

㈡ 如何抓取網路游戲內存值

首先我們要確定的第一問題就是你要抓取的是什麼

1.假如是數字類型就很簡單的了 打個比方 金錢 經驗 物品數量等
2.無數字提示 比如"可樂X"的"水果大戰" 人物的血是沒有數值的

但我們有個簡單的方法來確定內存位置 就是"金山游俠"
金山游俠的最大好處在於它的"熱起"和"內存判斷"的准確性 並且使用方法簡單 我這里就不多說了
............................................................................................................................................................................................
接下來 就該我們動腦子的時候的 呵呵
網路游戲的運行大概分為兩個部分

1.你的游戲客戶端(※一般情況下游戲里的大部分數據都在於此)
2.遠程的伺服器(※主要負責數據管理 如角色等級 金錢 物品等)

我們再來了解下網路游戲的運行

PC本地客戶端→網路封包數據
↓
↑遠程伺服器←網路封包發送

範例:
我在游戲中買了件物品 游戲系統把這個信息封包發送給伺服器 伺服器接受信息反饋給本地PC"並輸入至遠程伺服器的信息庫"
............................................................................................................................................................................................
我想到了這里 大家都基本明白網路游戲的運行原理了吧
細心的人也許會問 "數據"都在遠程伺服器 修改客戶端也沒用啊"
沒錯 數據是在遠程伺服器那 但是大家是否考慮過這個問題呢 那就是"遠程伺服器都是由本地客戶端發送指令才反饋"
※更明確的說 我們不是為了修改游戲數值 而是要"欺騙伺服器"主動還是掌握在客戶端的發送的指令上... ...
比如我賣了件10W的衣服 通過內存查找准確數值進行修改然後把數值修改成100W那麼發送給伺服器的就是你賣了100W
同樣的 我打了一個怪物得到了100經驗 通過修改封包成100W... ...
............................................................................................................................................................................................
使用工具
WPE(網路封包剪裁發送修改工具)
注意事項:務必掐8到10次重復信息進行對比 並注意數值的變化和修改
M2M(加密內存解讀工具)
注意事項:內存中一般00較多 通過這個常識 對特殊加密幫助很大
WINHEX(程序內存輔助工具)

㈢ 有沒有內存信息抓取工具

無需，網頁打開後，不管你是否保存，其實都已經下載在硬碟上了

首先，右擊IE點屬性，點擊刪除文件，刪除所有文件（要是你有一目十行的能力，跳過此條）
再打開你要保存的網頁
打開C:\Documents and Settings\（你的用戶名）\Local Settings\Temporary Internet Files
裡面就是你剛才的網頁所有東西了

㈣ 用c語言如何獲取內存地址

1、獲得函數的地址
函數名實際上就是指針，所以可以通過強制類型轉換來獲取函數的地址。
int i = 0；
i = （int）main；
printf（「%d\n」，i);
這樣我們就獲取了main函數的地址了，其他的自定義的函數也是同樣的道理啊。

2、獲取變數地址
int variab = 0;

int addrvar = 0;
addrvar = (int)&variab;
在變數addrvar中保存了變數variab的地址。
3、獲得數組的地址

數組本身就是指針，它本身就是內存地址，和獲得函數地址的方法一樣啊。比如
int array[10];

int addrarr;
addrarr = (int)array;

㈤ 大神們，內存裡面的dll如何抓取

方法：
1、自己把相關的文件從在正常工作的安裝目錄中，打到這件文件，然後復制到出現問題軟體的目錄下。復製成功後，還要進行注冊。
2、打開騰訊電腦管家，在工具箱裡面有一個電腦診所功能，可以進行修復文件缺失的問題。
3、實在不行就只有重裝系統了

㈥ 電腦主板上抓取內存大小的是什麼信號

內存是計算機中重要的部件之一，它是與CPU進行溝通的橋梁。計算機中所有程序的運行都是在內存中進行的，因此內存的性能對計算機的影響非常大。內存(Memory)也被稱為內存儲器，其作用是用於暫時存放CPU中的運算數據，以及與硬碟等外部存儲器交換的數據。只要計算機在運行中，CPU就會把需要運算的數據調到內存中進行運算，當運算完成後CPU再將結果傳送出來，內存的運行也決定了計算機的穩定運行。 內存是由內存晶元、電路板、金手指等部分組成的。
基本信息
中文名：內存
英文名：Memory
其他外文名：Computer memory
基本概述
內存
內存簡單的說就是存儲程序以及數據的地方，可以分為物理內存和虛擬內存，通常我們所說的都是指機器的物理內存,當物理RAM滿時（實際上，在RAM滿之前），計算機就會用硬碟空間做內存來彌補計算機RAM空間的缺乏。虛擬內存就在硬碟上創建了。在計算機的組成結構中，有一個很重要的部分，就是存儲器。存儲器是用來存儲程序和數據的部件，對於計算機來說，有了存儲器，才有記憶功能，才能保證正常工作。存儲器的種類很多，按其用途可分為主存儲器和輔助存儲器，主存儲器又稱內存儲器（簡稱內存），輔助存儲器又稱外存儲器（簡稱外存）。外存通常是磁性介質或光碟，像硬碟，軟盤，磁帶，CD等，能長期保存信息，並且不依賴於電來保存信息，但是由機械部件帶動，速度與CPU相比就顯得慢的多。內存指的就是主板上的存儲部件，是CPU直接與之溝通，並用其存儲數據的部件，存放當前正在使用的（即執行中）的數據和程序，它的物理實質就是一組或多組具備數據輸入輸出和數據存儲功能的集成電路，內存只用於暫時存放程序和數據，一旦關閉電源或發生斷電，其中的程序和數據就會丟失。

㈦ 如何抓取windows的mp抓取mp

Windbg生成mp文件的方法：程序崩潰（crash）的時候，為了以後能夠調試分析問題，可以使用WinDBG要把當時程序內存空間數據都保存下來，生成的文件稱為mp文件。步驟：1）打開WinDBG並將之Attach到crash的程序進程2）輸入產生mp文件的命令WinDBG產生mp文件的命令是.mp，可以選擇不同的參數來生成不同類型的mp文件。選項(1)：/m命令行示例：.mp/mC:\mps\myapp.dmp註解：預設選項，生成標準的minimp，轉儲文件通常較小，便於在網路上通過郵件或其他方式傳輸。這種文件的信息量較少，只包含系統信息、載入的模塊（DLL）信息、進程信息和線程信息。選項(2)：/ma命令行示例：.mp/maC:\mps\myapp.dmp註解：帶有盡量多選項的minimp（包括完整的內存內容、句柄、未載入的模塊，等等），文件很大，但如果條件允許（本機調試，區域網環境），推薦使用這中mp。選項(3)：/mFhutwd命令行示例：.mp/mFhutwdC:\mps\myapp.dmp註解：帶有數據段、非共享的讀/寫內存頁和其他有用的信息的minimp。包含了通過minimp能夠得到的最多的信息。是一種折中方案那怎麼自動生成mp文件呢，比如對方的電腦沒有windbg，這里用到一個window系統自帶工具，Dr.Watson運行方式很簡單：直接run-輸入drwtsn32-i就可以了，會提示這樣的:這個命令真難記，實話，記華生醫生吧，福爾摩斯中的如果有程序崩潰，會自動生成mp,這時再輸入drwtsn32就會運行這個程序:找到對應路徑的DMP文件就行了，一般放在如下路徑:C:\DocumentsandSettings\AllUsers\ApplicationData\Microsoft\DrWatson以下實例來自AWD代碼：Copyright(c)AdvancedWindowsDebugging(ISBN0321374460)fromAddison-WesleyProfessional.Allrightsreserved."ASIS"WITHOUTWARRANTYOFANYKIND,EITHEREXPRESSEDORIMPLIED,/.--*/#include"stdafx.h"#include#include#();classCAppInfo{public:CAppInfo(LPWSTRwszAppName,LPWSTRwszVersion){m_wszAppName=wszAppName;m_wszVersion=wszVersion;}VOIDPrintAppInfo(){wprintf(L"\nFullapplicationName:%s\n",m_wszAppName);wprintf(L"Version:%s\n",m_wszVersion);}private:LPWSTRm_wszAppName;LPWSTRm_wszVersion;};CAppInfo*g_AppInfo;int__cdeclwmain(intargc,WCHAR*args[]){wint_tiChar=0;g_AppInfo=newCAppInfo(L"MemoryCorruptionSample",L"1.0");if(!g_AppInfo){return1;}wprintf(L"Press:\n");wprintf(L"\n");wprintf(L"2Tosimulatedmemorycorruption\n");wprintf(L"3Toexit\n\n\n>");while((iChar=_getwche())!='3'){switch(iChar){case'1':g_AppInfo->PrintAppInfo();break;case'2':SimulateMemoryCorruption();wprintf(L"\nMemoryCorruptioncompleted\n");break;default:wprintf(L"\nInvalidoption\n");}wprintf(L"\n\n>");}return0;}VOIDSimulateMemoryCorruption(){char*pszWrite="Corrupt";BYTE*p=(BYTE*)g_AppInfo;CopyMemory(p,pszWrite,strlen(pszWrite));}

㈧ 如何手工抓取mp文件

在生產環境下進行故障診斷時，為了不終止正在運行的服務或應用程序，有兩種方式可以對正在運行的服務或應用程序的進程進行分析和調試。
首先一種比較直觀簡潔的方式就是用WinDbg等調試器直接attach到需要調試的進程，調試完畢之後再detach即可。但是這種方式有個缺點就是執行debugger命令時必須先break這個進程，執行完debug命令之後又得趕緊F5讓他繼續運行，因為被你break住的時候意味著整個進程也已經被你掛起。另外也經常會由於First Chance Excetpion而自動break，你得時刻留意避免長時間break整個進程。所以這樣的調試方式對時間是個很大的考驗，往往沒有充裕的時間來做仔細分析。
另一種方式則是在出現問題的時候，比如CPU持續長時間100%，內存突然暴漲等非正常情況下，通過對服務進程snapshot抓取一個mp文件，完成mp之後先deatch，讓進程繼續運行。然後用windbg等工具來分析這個抓取到的mp文件。
那麼如何在不終止進程的情況下抓取mp文件呢？Debugging Tools for Windows里提供了一個非常好的工具，adplus.vbs。從名字可以看出，實際上是一個vb腳本，只是對cdb調試器作的一個包裝腳本。
其路徑與Debugging Tools for Windows的安裝路徑相同，使用的方法也很簡單，如下所示:
adplus.vbs -hang -p 1234 -o d:/mp
其中-hang指明使用hang模式，亦即在進程運行過程中附加上去snapshot抓取一個mp文件，完成之後detach。與之對應的是-crash崩潰模式，用戶先啟動adplus，然後由它啟動要監控的程序，在出現異常崩潰時自動生成mp文件，或者通過Ctrl-C人為發出抓取指令。但是-crash模式在抓取完成之後，被監控的進程就必須終止。因此我們在這里只選用-hang模式。
-p是要調試的進程ID，比如ASP.NET應用線程池，在Win2003下就是w3wp.exe
-o 指定要output的mp文件路徑。
另外，與adplus類似的，有個UserDump工具，但是抓取用戶模式的進程，而adplus則是內核模式和用戶模式兩者皆可。
而總所周至的Dr. Waston，則會在進程崩潰之後的自動時候抓取mp文件，一樣可以用於windbg等調試器來事後分析程序崩潰時的狀態。
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
0:000> !mpheap -stat
No export mpheap found
======解決方法：
.load clr20/sos.dll，你要先執行的。sos.dll在默認的c:/windows/microsoft.net/framework/v2.....下面，你復制到c:/program files/debugging tools for windows下面的clr20目錄下面（clr20是你手工創建的）
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

在.NET下開發時，最基本的調試方法就是使用Visual Studio的單步調試。但是對於一些特殊情況，特別是涉及到CLR內部的時候使用這種方式就達不到目的了。
如果要查看運行時內存使用情況，IL代碼，CLR信息等可以使用以下兩種方式：
1、使用VS2005 + sos.dll
2、使用Windbg + sos.dll
第二種方式功能更加強大，下面我就通過實際操作展示一下怎麼使用這種方法得到運行時ArrayList內部的值。
有人可能會說：我直接用Visual Studio的單步調試豈不是更快？當然，這個只是一個演示，通過這個演示是為以後的高級調試打下基礎

在操作之前，先熟悉一下基本知識：
A、使用VS2005 + sos.dll調試
1、需要在項目->屬性->調試-〉啟用非託管代碼調試
2、打開調試-〉窗口-〉即時
3、在即時窗口中輸入 !load sos 載入調試模塊
4、輸入其它調試語句

B、使用Windbg + sos.dll
1、去微軟的網站下載最新的Windbg
2、打開Windbg在File-〉Symbol File Path ...窗口中輸入 srv*c:/symbols*http://msdl.microsoft.com/download/symbols
3、運行需要調試的程序，然後在Windbg中File-〉Attach to Process中選擇剛才運行的程序
4、在出現的Command窗口中就可以輸入調試語句
5、常用調試語句：
lm //查看載入了哪些模塊
.load C:/WINDOWS/Microsoft.NET/Framework/v2.0.50727/sos.dll //載入調試模塊
ld TestClass //載入調試符號
!name2ee TestClass.exe TestClass.Program.test //顯示test方法相關的地址
!mpmt -md 00976d48 //得到類的成員函數詳細信息
!mpil 00973028 // 顯示這個方法被編譯器編譯之後的IL代碼
!mpheap -stat //該命令顯示程序中所有對象的統計信息，顯示的大小是對象本身的大小，不包括對象裡面值的大小
!mpheap -mt 790fcb30 //該命令顯示MethodTable 790fcb30的詳細信息
!gcroot 012919b8 //來顯示一個實例的所屬關系
!mpobj(do) 012a3904 //顯示一個對象的具體內容，看對象裡面有什麼，值是什麼
!ObjSize 012a1ba4 //對象實際在內存中的大小
!eeheap -gc //查看託管堆的情況(包括大小)
!DumpArray //查看數組信息
下面就來看看具體的調試步驟：
1、我們的測試代碼

namespace TestClass
{
class Program
{
[STAThread]
static void Main(string[] args)
{
ArrayList list = new ArrayList();
list.Add("aaaa");
list.Add("bbbb");
Console.ReadLine();
}
}
}很簡單，就是一個ArrayList

運行這個程序(開始執行，不調試)，然後進入Windbg，Attach到這個進程

2、查看所有堆棧信息
0:004> !mpheap -stat
MT Count TotalSize Class Name
7910062c 1 12 System.Security.Permissions.SecurityPermission
7918e284 1 16 System.IO.TextReader+SyncTextReader
79102d10 1 20 Microsoft.Win32.SafeHandles.SafeFileMappingHandle
79102cb4 1 20 Microsoft.Win32.SafeHandles.SafeViewOfFileHandle
79101d30 1 20 System.Text.
79100a7c 1 20 Microsoft.Win32.SafeHandles.SafeFileHandle
79105cd4 1 24 System.Collections.ArrayList
......
7912ad90 11 9036 System.Object[]
790fcb30 2083 131492 System.String
Total 2202 objects
除了我們的ArrayList外，還有很多其它的系統信息，先不用管它

3、查看我們的ArrayList的信息
0:004> !mpheap -mt 79105cd4
Address MT Size
012a1b88 79105cd4 24
total 1 objects
Statistics:
MT Count TotalSize Class Name
79105cd4 1 24 System.Collections.ArrayList
Total 1 objects

4、查看對應地址內部實際的值
0:004> !do 012a1b88
Name: System.Collections.ArrayList
MethodTable: 79105cd4
EEClass: 79105c28
Size: 24(0x18) bytes
(C:/WINDOWS/assembly/GAC_32/mscorlib/2.0.0.0__b77a5c561934e089/mscorlib.dll)
Fields:
MT Field Offset Type VT Attr Value Name
7912ad90 40008df 4 System.Object[] 0 instance 012a1bb0 _items
791018e0 40008e0 c System.Int32 1 instance 2 _size
791018e0 40008e1 10 System.Int32 1 instance 2 _version
790fc35c 40008e2 8 System.Object 0 instance 00000000 _syncRoot
7912ad90 40008e3 1c0 System.Object[] 0 shared static emptyArray
>> Domain:Value 00149c58:012a1ba0 <<
可以看到ArrayList的大小為2，具體的值保存在地址012a1bb0中，是一個System.Object[]類型的數組

5、查看數組信息
0:004> !DumpArray 012a1bb0
Name: System.Object[]
MethodTable: 7912ad90
EEClass: 7912b304
Size: 32(0x20) bytes
Array: Rank 1, Number of elements 4, Type CLASS
Element Methodtable: 790fc35c
[0] 012a1b50
[1] 012a1b6c
[2] null
[3] null

6、查看數組內對象的值
0:004> !do 012a1b50
Name: System.String
MethodTable: 790fcb30
EEClass: 790fca90
Size: 26(0x1a) bytes
(C:/WINDOWS/assembly/GAC_32/mscorlib/2.0.0.0__b77a5c561934e089/mscorlib.dll)
String: aaaa
Fields:
MT Field Offset Type VT Attr Value Name
791018e0 4000096 4 System.Int32 1 instance 5 m_arrayLength
791018e0 4000097 8 System.Int32 1 instance 4 m_stringLength
790fe534 4000098 c System.Char 1 instance 61 m_firstChar
790fcb30 4000099 10 System.String 0 shared static Empty
>> Domain:Value 00149c58:790d81bc <<
7912b1d8 400009a 14 System.Char[] 0 shared static WhitespaceChars
>> Domain:Value 00149c58:012a16f0 <<
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
windbg使用小總結
【抓mp】
1、一般抓法
adplus -hang -p 3230 -quiet 抓3230 pid進程，hang模式，相當於把那個進程暫停住，取內存快照
adplus -crash -pn w3wp -quiet 抓w3wp進程，crash模式，當那個進程崩潰結束的時候自動抓取當時的內存
adplus -hang -iis -quiet 抓IIS相關進程，包括其上host的web應用，以及iis自身
2、抓window服務
http://support.microsoft.com/kb/824344/zh-cn
3、遠程抓
http://blog.joycode.com/tingwang/archive/2006/08/11/79763.aspx
4、抓藍屏和死機的mp
電腦無故重啟或者藍屏會在C:/WINDOWS/Minimp/下保存一個minimp，但是這個minimp可用的命令很少，一般只打!analyze –v看到是哪個進程引起的，還有相關的驅動模塊就基本定位問題了。
5、IIS回收的時候抓
http://blog.yesky.com/blog/omakey/archive/2006/12/17/1618015.html
6、計劃任務抓
比如一個進程起來後不知道它什麼時候會意外崩潰，可以在計劃任務里用crash里抓，當那個進程意外終止的時候，cdb可以直接附加上去，抓取當時的mp，如果要抓一些會自動重啟的進程，而且要抓每次重啟前的mp，可以參考附錄里一節。
【常用命令】
1、先path C:/WINDOWS/Microsoft.NET/Framework/v2.0.50727，把.net路徑設置為path環境變數，一遍在windbg里可以直接.load sos，而不必.load C:/WINDOWS/Microsoft.NET/Framework/v2.0.50727/sos.dll
2、ld demo，載入你程序的pdb文件，調試.net程序一般要把kernel32和mscorwks的符號載入上，關於這兩個東西大家可以查資料，尤其是後者有哪些函數可以多了解一些。
3、在windbg的file/symbol file path對話框里輸入以下文字，以便自動載入和下載符號
C:/WINDOWS/Symbols;d:/Program Files/Microsoft Visual Studio 8/SDK/v2.0/symbols;.sympath SRV*d:/localsymbols*http://msdl.microsoft.com/download/symbols
其中有windows、.net2.0和自動從網上下載的調試符號，注意根據自己的情況適當修改目錄
【調試死鎖】
1、!syncblk，查看哪些線程拿到了鎖
2、~67e!clrstack 跳到某個拿到鎖的線程看它正在干什麼操作，遲遲不肯釋放鎖
3、!runaway 查看這個佔有鎖的線程運行了多長時間。
4、~*e!clrstack查看所有線程的託管堆棧，看看哪些是正在等待鎖的，比如hang在System.Threading.Monitor.Enter(System.Object)
5、~136s選擇該線程，顯示如下
0:000> ~136s eax=00005763 ebx=08deeb5c ecx=03eff0d4 edx=5570ab69 esi=08deeb5c edi=7ffd6000 eip=7c95ed54 esp=08deeb10 ebp=08deebb8 iopl=0 nv up ei pl zr na pe nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000246 ntdll!KiFastSystemCallRet: 7c95ed54 c3 ret
找到ecx寄存器的值，復制後ctrl+f，向上查找，會找到!syncblk的地方，如下
0:000> !syncblk Index SyncBlock MonitorHeld Recursion Owning Thread Info SyncBlock Owner 1906 03ee4be4 5 1 03ee8f88 22c8 67 185e2ef0 System.Object 5390 052ca39c 3 1 05292b30 1dd4 49 1060d3ac System.Object 9372 0530702c 15 1 0012d3a8 1aa8 80 185e7704 System.Object 11428 03eff0d4 35 1 053b8fa8 169c 120 166acd98 System.Object 15278 0531c6b4 61 1 06bc1430 26d8 86 1a5bea88 System.Object
可以看到136線程等待的鎖被120號線程占著不放（格式有點亂，湊合看），
6、有時候通過ecx寄存器找鎖不是很確定，可以用~* kb來把所有線程堆棧打出來，然後根據!syncblk出來的同步快的值去搜索大概有多少個線程在等那個鎖。因為同樣是等待鎖，可等的狀態不一樣，有的在Q里，有的鎖已經升級，有的去嘗試去拿鎖了，所以不一定當時ecx寄存器指向那塊內存，具體如何找到某個正在等待鎖的線程等待的鎖的內存地址，以及它正等待的這個鎖被哪個線程拿著，我還沒琢磨出規律來，但一般情況下，如果有其它同步對象的話，更難查。.net里用我上面說的幾步就能查出鎖的問題了。

【內存泄漏】
1、!mpheap -stat看看哪些對象個數最多，占內存最大，
2、找到某個格式比較多的對象，可以看它的方法表，然後用!mpheap -mt 66398fa4去隨機找幾個對象的地址
3、用!do 1e5a22bc命令去查看幾個對象的狀態，屬性的值等，看看正常不正常
4、用!gcroot -nostacks 1e5a22bc去查看幾個對象的根正常不正常，如果有些對象的根不是自己預先設計的那樣，很可能被自己沒想到的對象強引用了，所以GC無法回收它，就泄漏了。
【CPU百分百】
主要用幾個計數器和!runaway命令，具體見以下鏈接
http://www.cnblogs.com/onlytianc ... 7/06/03/769307.html
【線程池耗盡】
!threadpool 能看到完成埠，線程池工作線程和timer回調各占線程池的情況。
【其它】
1、!eestack -short -ee查看所有重要(獲取鎖的，託管的，停止並允許回收的)線程的mpstack，差不多相當於~*e!mpstack
2、.time 可以看到進程跑了多少時間
3、!dso 查看當前線程里有哪些對象，分析內存泄漏問題也許會用到

㈨ 怎樣用Java獲取內存中的數據

可以考慮使用內存映射文件：java.nio.MappedByteBuffer，主要適合放入較大的數據進入系統內存
可以考慮使用：java.nio.ByteBuffer.allocateDirect()方法進行分配，可以將一些不適合放入堆里的數據放入系統內存
還可以採用java本地調用的方式，實現對系統自身內存的掌控與調度，這種方式可以讓你靈活的訪問系統的內存。
java的堆放入的對象尺度是有限制的，這里建議參考BigMemory 的實現機制以及內存管理機制
如果自己管理內存的話，建議參考其他語言對內存管理的方式。
你可以把數據放入線性數據結構中（這些數據是在系統內存中，而非jvm管理的內存里），這樣就不存在分代問題，可以由你的應用在適當的時候清理系統的內存。這樣，你的內存模型-釋放機制就與jvm的內存管理機制處於一個互不幹擾的異行線上。

㈩ 如何抓取windows的mp抓取mp

Dump文件是進程的內存鏡像。可以把程序的執行狀態通過調試器保存到mp文件中。Dump文件是用來給驅動程序編寫人員調試驅動程序用的，這種文件必須用專用工具軟體打開，比如使用WinDbg打開。

在Windbg中可以通過.mp命令保存進程的mp文件。比如下面的命令把當前進程的鏡像保存為c:\testmp.dmp文件：.mp /ma C:\testmp.dmp

其中的/ma參數表示mp文件應該包含進程的完整信息，包括整個用戶態的內存，這樣mp文件尺寸會比較大，信息非常全面。如果不使用/ma參數，保存下來的mp文件只包含了部分重要資料，比如寄存器和線程棧空間，文件尺寸會比較小，無法分析所有的數據。

在Windbg中，通過File→Open Crash Dump菜單可以打開mp文件進行分析。打開mp文件後，運行調試命令看到的信息和狀態，就是mp文件保存時進程的狀態。通過mp文件能夠方便地保存發生問題時進程的狀態，方便事後分析。

mp還是oracle及SQL資料庫中導出的數據文件。可以備份數據，並可以實現後期的導入。

.

下載BlueScreenView,運行它就會自動讀取 C:\Windows\minimp\*.dmp 操作系統藍屏記錄轉儲文件.