Страница 1 из 2
-
blizzard
New Member
- Публикаций:
-
0
- Регистрация:
- 29 дек 2007
- Сообщения:
- 9
Есть программы, позволяющие полностью увидеть содержимое оперативки (это не бредовая идея, случайно, содержимое ведь меняется?)?
По идее, сегмент+смещение (4 байта, 2^32 — 4 млрд адресов) должны показывать все, но в Turbo Debugger’е наблюдаю какую-то фигню: загружаю в первый TD программу, смотрю на ее данные и их положение в памяти, запускаю второй TD, перехожу по тому же адресу — совершенно другой код. Я знаю, что отладчик меняет исполняемую программу, но не так же сильно! -
Magnum
New Member
- Публикаций:
-
0
- Регистрация:
- 29 дек 2007
- Сообщения:
- 925
blizzard
учи мат часть
Каждый процесс выполняется В СВОЕМ ВИРТУАЛЬНОМ АДРЕССНОМ ПРОСТРАНСТВЕ -
Magnum
New Member
- Публикаций:
-
0
- Регистрация:
- 29 дек 2007
- Сообщения:
- 925
http://www.wasm.ru/publist.php?list=24
-
blizzard
New Member
- Публикаций:
-
0
- Регистрация:
- 29 дек 2007
- Сообщения:
- 9
Понятно. Но вопрос все равно остается: есть такие программы? Или ассемблер чего-то не может?
-
Magnum
New Member
- Публикаций:
-
0
- Регистрация:
- 29 дек 2007
- Сообщения:
- 925
1. Artmoney
2. В пакете masm32 при установленном KmdKit в папке тоолз есть просмотр содержимого оперативы
3. Либо в Visual Studio нажми Alt+6 -
rei3er
maxim
- Публикаций:
-
0
- Регистрация:
- 15 янв 2007
- Сообщения:
- 917
- Адрес:
- minsk
/dev/mem
это в Linux естественно -
wasm_test
wasm test user
- Публикаций:
-
0
- Регистрация:
- 24 ноя 2006
- Сообщения:
- 5.582
при чем тут ассемблер?в защищенном режиме нельзя аппаратно — виртуализация памяти. в реальном режиме можно, но там сегмент+смещение это 20 бит и 1 миллион адресов. так что о чем идет речь я не понял?? ты о чем
-
дык собрать по страницом чо куда отображаецо ведь можно
-
Vov4ick
Владимир
- Публикаций:
-
0
- Регистрация:
- 8 окт 2006
- Сообщения:
- 581
- Адрес:
- МО
Я пытался вгонять винду в бсод с поставленной галкой «Сдампить всё ОЗУ при ошибке» в настройках, но дампится, как я понял, не всё. Если нужно всё, кроме первого мегабайта, проще нажать сброс, загрузить ДОС и посмотреть память. А ещё проще воспользоваться winHEX’ом или аналогичным просмотрщиком, правда нет доступа к адресам 1000-10000
Это естественно. даже несмотря на то, что винда создала одинаковые среды для эмуляции, дебугер скорее всего были запущены по-разному, соответствено легли в разные области памяти и программы, в них загруженные.
-
RamMerLabs
Well-Known Member
- Публикаций:
-
0
- Регистрация:
- 11 сен 2006
- Сообщения:
- 1.420
она лазит в АП атакуемого процесса, а не по всей RAM’ке
-
wasm_test
wasm test user
- Публикаций:
-
0
- Регистрация:
- 24 ноя 2006
- Сообщения:
- 5.582
Freeman
А кто сказал что все страницы куда-то ображаются? =)нет, дампится всё ОЗУ. Смотри мою статейку по дампу, я там написал как и что дампится и при каких галочках.
В любом случае всё озу можно посмотреть через NtSysDbgCtrl
-
rei3er
maxim
- Публикаций:
-
0
- Регистрация:
- 15 янв 2007
- Сообщения:
- 917
- Адрес:
- minsk
а кто мешает по страничке последовательно отображать
физические страницы на адресное пространство ядра?
через MmMapIoSpace() например -
wasm_test
wasm test user
- Публикаций:
-
0
- Регистрация:
- 24 ноя 2006
- Сообщения:
- 5.582
не думаю что ему нужно в ядре ))
-
UTeX
New Member
- Публикаций:
-
0
- Регистрация:
- 19 окт 2007
- Сообщения:
- 584
blizzard
все зависит от того какая преследуется цель.
Сдампить то можно все — но хватит ли у тебя сил?Если ты тут используешь TD значит ты совсем не ориентируешься в теме, т к он как уже было сказано выше запускается в режиме эмуляции под вирт машиной. Так в чем собственно дело? Для чего это все?
-
rei3er
maxim
- Публикаций:
-
0
- Регистрация:
- 15 янв 2007
- Сообщения:
- 917
- Адрес:
- minsk
MmMapIoSpace — это ж ядерная функция
если есть что-то другое аналогичное юзермодное
тогда можно это и использовать -
тока не везде буит пахать, наверна
-
wasm_test
wasm test user
- Публикаций:
-
0
- Регистрация:
- 24 ноя 2006
- Сообщения:
- 5.582
rei3er
ээ sysdbgctrl?)ну да, до 2к3 сп1 или где там ее прикрыли..
-
blizzard
New Member
- Публикаций:
-
0
- Регистрация:
- 29 дек 2007
- Сообщения:
- 9
Great
Ну, по-моему, такие вещи как просмотр памяти должны выполняться с использованием низкоуровневых средств.Блин, совсем забыл
Vov4ick
Мне очень нравится HexWorkshop, но там по-моему нет такой возможности — если им кто-то пользовался, может, я что-то просмотрел?
UTeX
Самый общий ответ — просто интересно. В частности — вот с этим отладчиком — даже он показывает не то, что на самом деле в памяти находится, а хочется видеть реальную картину.
Кстати, я решил на MASM перейти. Понял, что модель Flat рулит, пришлось отказаться от DOS-овских ф-й по работе с файлами, а даже простейших констант по работе с файлами в TASM 5.0 почему-то нет. Неужели его так давно закрыли?
Большое всем спасибо.
-
wasm_test
wasm test user
- Публикаций:
-
0
- Регистрация:
- 24 ноя 2006
- Сообщения:
- 5.582
А по-моему, Си ничем не хуже и у тебя вообще странные понятия о низкоуровневых средствах, очень смахивающие на общепринятые в среде, где не знают про ассемблер и подобное, стереотипы. Слышали звон, да не знают где он. Без обид, если я не прав, но очень смахиваетСмотреть физическую память тебе не нужно, поверь. Смотреть виртуальну память можно в олли например.
И вообще я кстати не понял, ты пишешь про ДОС, про эмуляцию ДОС или про Win32?
Иногда заикаешься про TD, иногда про сегмент-смещение, иногда про запуск второго (!) TD.
Разберись уж!
1) Если ты в реальном режиме, тогда есть классный отладчик AfdPro. Смотришь память как хочешь
2) Если ты в Windows, в режиме эмуляции DOS, тогда советую тот же отладчик, но лишь с той разницей — программы, замущенные в разных «окнах» DOS, друг на друга не влияют (обычно). Поэтому что ты ожидаешь увидеть, запустив «второй» TD, я не знаю.
3) Если ты в Win32, я уже посоветовал Olly -
Magnum
New Member
- Публикаций:
-
0
- Регистрация:
- 29 дек 2007
- Сообщения:
- 925
Человек просто не знает разницы между реальным и защищенным режимами, отсюда и подобные вопросы.
Он не знает, что такое собственное 4хГб виртуальное адрессное пространство,
При запуске нескольких копий олли в отдельных регионах памяти он наблюдает разные картинки. И думает, что это отладчик портит память.
Он не понимает, что у каждой копии олли свое АП. Он думает, что все приложения «видят друг друга» и находятся в одном АП, как в ДОСе.Тот же эффект «порчи отладчиком памяти» он хочет в досе воспроизвести, не понимая, в чем разница. Отсюда и эксперементы с 2мя и более копиями TD
А вы тут о ядре и о системных функциях глаголите… К основам его отправляйте… Человек полный нуб.
Страница 1 из 2
Содержание
- Как узнать куда идет расход ОЗУ, если его нет в процессах?
- Как узнать, что занимает оперативную память компьютера
- Не плоди вкладки браузера
- Посмотри автозагрузку и службы
- Как почистить и разгрузить оперативную память компьютера на Windows 7
- Что такое оперативная, физическая и видеопамять
- Как посмотреть, чем занята оперативка
- Как освободить оперативную память компьютера
- Закрыть ненужные программы и приложения
- Закрытие фоновых процессов и служб
- ТОП-3 Простых способа как очистить оперативную память на компьютере или ноутбуке под управлением в Windows 7/10
- Зачем чистить оперативную память?
- Очистка при помощи «Диспетчера задач» Windows
- Чистим автозагрузку
- Используем сторонние приложения
- KCleaner
- Mz RAM Booster
- Wise Memory Optimizer
- Заключение
- ВИДЕО: Как ОЧИСТИТЬ ОПЕРАТИВНУЮ ПАМЯТЬ на Компьютере
- Как ОЧИСТИТЬ ОПЕРАТИВНУЮ ПАМЯТЬ на Компьютере
- Битва за «оперативку» – как почистить ОЗУ?
- Что ест оперативную память
- Как очистить оперативную память
- Ручная очистка ОЗУ
- Программы для очистки ОЗУ
- Поиск и удаление вирусов
- Как разгрузить оперативную память в Windows 10
Как узнать куда идет расход ОЗУ, если его нет в процессах?
Это очень странно, я открываю диспетчер задач, всего у меня 16 ГБ ОЗУ, показывает что потребляет 20% когда все закрыто!
Пошарил по процессам, не пойму где утечка, сканировал на вирусы, все-равно, виндоус жрет 1 гб, до процессы ну еще 1 макс, и все равно их нет в процессах, куда еще 1 гб делся? Как можно отследить куда расход идет, в случае если кто то поставил фишинговое или скрытое ПО для фарма лайткойнов?
Это подозрительно, обычно когда сильно забивает и я никак не могу убрать это, перебивал винду стирая вообще все под чистую. Когда чистый windows, у меня грузило 5%-10% ОЗУ максимум, теперь 20% минимум.
Как узнать куда идет расход ОЗУ, если его нет в процессах?
Запуск Windows и приложений сопровождается чтением в память и обработкой огромного количества файлов. Зачастую один и тот же файл открывается по несколько раз для чтения различных сегментов. Такой нерациональный доступ к файлам занимает много времени. Гораздо эффективнее обращаться к каждому файлу только один раз, загружая информацию в оперативную память ещё до того, как она станет нужна программам. Prefetcher наблюдает за тем, какой код и данные (включая NTFS Master File Table) загружаются в процессе запуска операционной системы и приложений. Он накапливает эти сведения в файлах трассировки для оптимизации загрузки кода и данных при следующих запусках.
На вкладке «производительность» диспетчера задач посмотрите на количество «доступной» а не «свободной» памяти
Винда, начиная с висты, потихоньку забивает память файловым кэшем что бы быстрее работать с диском (часто используемые файлы хранятся и в памяти тоже, и читаются быстро из памяти, а вот пишутся на винт).
Источник
Как узнать, что занимает оперативную память компьютера
Что занимает память компьютера и как её очистить
Если вы помните, не так давно я публиковал на блоге статью, в которой рассказывал о загрузке процессора. Так вот, здесь хочется провести параллель, поскольку приложения, которые грузят CPU, также занимают и оперативную память.
А это значит, что и пользоваться мы будем теми же инструментами для выявления ресурсоемких процессов. Это хорошо, поскольку люди ленивы по своей натуре и учиться чему-то новому хотят не всегда.
Начать стоит, конечно, с уже известного нам Диспетчера задач. Нажимаем на клавиатуре магическую комбинацию CTRL+ALT+DEL и начинаем разбираться. О да, это интересно.
Сразу сортируем по убыванию столбец «Память» и видим программы, которые кушают ресурсы больше всего. Самое простое, что можно сделать, это вызвать правой кнопкой мыши дополнительное меню и завершить процесс.
Но опять хочу предостеречь. Смотрите, что закрываете. Системные процессы Windows без понятия трогать не стоит. А узнать, что его использует система можно с помощью функции «Подробно» или воспользовавшись поиском в интернете. На картинке выше как раз приведен пример такого (системного) процесса.
Не плоди вкладки браузера
Все мы любим сидеть в интернете. Ну как же без него в наше время. Нередко бывает так, что у пользователя в браузере открыт целый пул вкладок. Конечно, ведь многие успевают одновременно читать новости, переписываться в соц. сети и, например, проверять почту. Вундеркинды!
Каждая такая вкладка находится в оперативной памяти компьютера. Прикиньте, как легко можно загрузить ее до предела. Отсюда вывод: не держите в открытом состоянии ненужные вам страницы. Зачем, ребята? Попользовались и закрыли. Это же так просто.
На следующем примере видно, что для каждой такой страницы Яндекс.Браузер запускает отдельный процесс. И вот представьте, если объема ОЗУ на компьютере и так хватает впритык. Есть над чем подумать.
Посмотри автозагрузку и службы
Думаю, тут все понятно. Заходим в одноименный раздел Диспетчера задач и смотрим, все ли из приведенного списка действительно нужно для работы в фоновом режиме.
Довольно часто в Сети в случаях острой нехватки памяти советуют отключать службы, которые не относятся напрямую к Майкрософт, то есть к системным. Как по мне, мера не совсем популярная, но имеет право на жизнь.
Делается следующим образом на примере Windows 10. В строке поиска вбиваем комбинацию, указанную под рисунком ниже и переходим в раздел «Службы».
Здесь рекомендую сразу поставить галку «Не отображать службы Майкрософт», чтобы не закрыть что-нибудь системное. А дальше в приведенном списке можно снимать галки напротив названий, чтобы отключить сервис.
Конечно же, после действий с автозагрузкой и службами желательно перезагрузить компьютер. Ну как, он у вас включился? Значит, вы все сделали правильно. А я в этом месте словил себя на мысли, что пост плавно перешел на тему, как очистить ОЗУ. 😉
Подведем итоги. Теперь вы знаете, как проанализировать занятую память компьютера. Если все перечисленные манипуляции вам ничем не помогли, возможно, пора задуматься над увеличением ее объема. Что думаете по этому поводу? Пишите в комментариях.
Источник
Как почистить и разгрузить оперативную память компьютера на Windows 7
Оперативная память является важнейшей составляющей любого компьютера или ноутбука. В большей степени она определяет скорость работы устройства и, соответственно, чем больше ОЗУ будет установлено на компьютере, тем лучше и проще тот будет работать. Повысить производительность компьютера можно увеличением физического объёма памяти, но в Windows 7 того же результата можно несколько иными способами, например, почистить.
Что такое оперативная, физическая и видеопамять
Все операции с информацией осуществляет центральный процессор компьютера, причём он делает это только с той, которая содержится в оперативном запоминающем устройстве. Сюда загружается множество различной информации, в том числе промежуточные результаты разнообразных вычислений и текущие данные. Буквально все операции, которые выполняет компьютер, подразумевают обращение к оперативной памяти и её последующее использование. Таким образом можно сделать простой вывод — все, что вы делаете на компьютере, так или иначе, может потреблять ресурсы ОЗУ. Благодаря этому становится ясно, почему компьютеры с небольшим количеством оперативной памяти работают намного хуже, чем другие устройства, обладающие большими ресурсами.
Кроме оперативного запоминающего устройства, имеется ещё несколько видов памяти, это физическая и видеопамять.
Если вы взглянете на системные показатели, которые отображают количество ОЗУ, то наверняка удивитесь, ведь там будет указан чуть меньший объем, чем вы установили. Некоторый объём оперативной памяти система автоматически резервирует для фунционирования центрального процессора. Как правило, этот объем — не очень большой, но является обязательным для работы «мозга» персонального компьютера. Именно эта часть называется физической памятью устройства.
Каждый видеоадаптер обладает своей памятью. По сути — это та же оперативная память, только установленная на отдельный компонент компьютера, которая выполняет функцию передачи изображения на монитор. В отличие от традиционных планок ОЗУ, каждую из которых владелец ПК может самостоятельно заменить (добавить, убрать некоторые либо заменить их), видеопамять является несъемной. В результате увеличить объем такой памяти можно только путём замены старого видеоадаптера на новый либо покупкой дополнительной видеокарты.
Как посмотреть, чем занята оперативка
Операционная система Windows 7 может показывать пользователю информацию о том, чем в текущий момент времени занята оперативная память компьютера. Все это можно просмотреть самостоятельно, без дополнительных инструментов, воспользовавшись системными, встроенными возможностями. В этом пользователям поможет «Диспетчер задач». Его можно открыть двумя способами: Нажать на клавиатуре комбинацию клавиш Ctrl+Alt+Del и в появившемся меню выбрать приложение «Диспетчер задач». Щёлкнуть правой кнопкой мыши на «Панели задач» и уже там выбрать «Диспетчер задач».
По умолчанию, программа автоматически открывает пользователю вкладку «Быстродействие». Здесь можно посмотреть на загруженность центрального процессора в текущий момент времени, на то, как сильно он используется запущенными программами, а также взглянуть на хронологию использования физической памяти. В некоторых случаях это может понадобиться. Тем не менее, здесь представлен лишь график загрузки отдельных элементов системы, а более точную и подробную информацию пользователи могут найти во вкладке «Процессы».
В «Процессах» указывается вся информация о запущенных приложениях на компьютере, в том числе даже те процессы, которые появились в результате сбоев. В крайней левой колонке можно посмотреть название процесса, в предпоследней количество занятой тем или иным процессом оперативной памяти, а в крайней правой — подробное описание. Таким образом вы можете взглянуть на таблицу и отсортировать все процессы, например, по количеству потребляемых ресурсов и при необходимости завершить их.
Как освободить оперативную память компьютера
ОЗУ зачастую является дефицитным ресурсом для множества приложений. Некоторые из них пользователь запускает совершенно осознанно, а другие начинают работать по «воле» системы либо из-за автозагрузки. Не стоит забывать и о том, что существуют такие приложения, которые осознанно вредят устройству, могут потреблять значительную часть системных ресурсов — вредоносное программное обеспечение. Как бы то ни было, все они потребляют оперативную память, поэтому пользователю необходимо регулярно производить очистку оперативной памяти.
Закрыть ненужные программы и приложения
Самый простой способ очистки ОЗУ заключается в отключении различных программ и приложений.
Закрываем активные приложения
Таким образом можно освободить некоторую часть физической памяти. Все активные программы и приложения операционная система Windows 7 отображает в виде специальных иконок, располагающихся в нижней части экрана, на «Панели задач». Благодаря новому интерфейсу Aero, который появился ещё в ОС Windows Vista, пользователь может с лёгкостью просмотреть рабочий вид окон. Таким образом можно понять — в каких окнах осталась важная, несохраненная информация. Все те приложения, в которых вы сейчас не нуждаетесь, можете отключить и увеличить быстродействие, освободить память компьютера, а для этого достаточно нажать на крестик, располагающийся в верхней части активного окна.
Отдельно следует упомянуть про работу веб-браузеров. Дело в том, что каждая новая вкладка, которую вы откроете в браузере, представляет для системы отдельный процесс. Таким образом, если количество таких вкладок будет большим, а объем оперативной памяти, наоборот, маленьким, то быстродействие вашего компьютера значительно ухудшится. Если вам сейчас браузер вообще не нужен, то закройте его полностью. Если же нуждаетесь только в каких-то отдельных вкладках, то оставьте их, а остальное уберите. Например, часто бывает так, что пользователи вводят запрос в поисковик и оставляют эту вкладку открытой. Она тоже будет использовать системные ресурсы, поэтому убедитесь, что все те вкладки, которые вам не нужны — отключены.
При необходимости, пользователи могут воспользоваться «Диспетчером задач», чтобы отключить активные приложения. Для этого потребуется:
Щелкаем на «Панели задач» и выбираем «Запустить диспетчер задач»
В «Диспетчере задач» открываем вкладку «Приложения»
Здесь будут отображаться все активные задачи, в том числе и те, которые невозможно закрыть простым нажатием на «крестик» в правом верхнем углу окна (зависшие приложения). Старайтесь использовать этот способ только тогда, когда какие-то программы на вашем компьютере зависли и не отвечают на действия.
Помните, что таким способом отключения приложений лучше не злоупотреблять. В этом случае — это аварийное отключение программы и, естественно, некоторые данные могут не сохраниться. Кроме того, такой способ отключения может вызвать проблемы при последующем запуске приложения.
Закрытие фоновых процессов и служб
Некоторые виды программ и приложений работают в так называемом фоновом режиме и потребляют оперативную память. Как правило, активного окна у них нет. Весь их интерфейс либо сворачивается в трей, либо вовсе не заметен. Тем не менее, это не говорит о том, что они не потребляют системные ресурсы. Зачастую именно они становятся причиной снижения быстродействия персонального компьютера, ухудшения его работоспособности. Поэтому рекомендуется хотя бы иногда проверять все процессы. Для этого следует:
Щелкаем на «Панели задач» и выбираем «Запустить диспетчер задач»
Источник
ТОП-3 Простых способа как очистить оперативную память на компьютере или ноутбуке под управлением в Windows 7/10
Оперативная память – это важнейший компонент любого компьютера, который отвечает за его быстродействие. Чем больше оперативки, тем лучше ПК себя ведет при работе с кучей программ. И иногда оперативную память нужно чистить. Желательно регулярно.
Зачем чистить оперативную память?
Ответить на этот вопрос одним предложением невозможно. Начнем с того, что оперативная память (даже самая объемная) может не выдержать кучи запущенных программ и компьютер начнет жутко тормозить и лагать.
То же самое может произойти и в том случае, если программы (особенно ресурсоемкие) работают постоянно в фоне. Оперативная память просто не выдерживает такой нагрузки и начинает работать файл подкачки, который располагается на медленном жестком диске. Отсюда и тормоза.
Так что оперативную память нужно время от времени очищать. И сделать это можно несколькими способами. Причем можно даже не использовать сторонних приложений (хотя и этот вариант мы рассмотрим).
Очистка при помощи «Диспетчера задач» Windows
У операционной системы Windows есть такой замечательный компонент, как «Диспетчер задач», который позволяет управлять работой ОС. Также он умеет мониторить общее состояние памяти. По его показателям можно понять, что нагрузка на RAM достигла критической массы.
Более того, «Диспетчер задач» позволяет очистить оперативную память в пару кликов. И это не может не радовать. Пользоваться этим компонентом очень просто. Для очистки памяти нужно выполнить следующие действия.
1. Кликаем правой кнопкой мыши по значку «Пуск» и в контекстном меню выбираем «Диспетчер задач».
2. В главном окне компонента щелкаем на категорию «Память». Это действие отсортирует процессы по степени загрузки оперативной памяти компьютера или ноутбука.
3. Теперь кликаем по самым ресурсоемким процессам правой кнопкой мыши и выбираем «Снять задачу». Это действие выгружает процессы из RAM.
Так стоит делать для всех процессов, которые не являются системными. Однако выгружать из памяти можно только те программы, которые не работают в данный момент. Если выгрузить работающую, то в лучшем случае она перестанет работать. В худшем – система зависнет.
Чистим автозагрузку
Мало кто знает, но программы в автозагрузке тоже влияют на захламленность оперативной памяти. Если в автозагрузке слишком много ненужных приложений, то операционная система будет стартовать очень долго. Но это еще полбеды.
Те программы, которые запустились вместе с ОС работают в фоне постоянно и нагружают оперативную память устройства очень сильно. Потому и нужно почистить автозагрузку. Сделать это можно при помощи того же «Диспетчера задач». Ин6трукция такая.
1. Запускаем «Диспетчер задач» уже известным нам способом (или сочетанием клавиш «Ctrl+Shift+Esc»). В нем сразу переходим на вкладку «Автозагрузка».
2. Выбираем ненужное приложение, кликаем по нему правой кнопкой мыши и выбираем «Отключить».
Следует повторить эту процедуру для всех программ, кроме системных. После отключения всех ненужных компонентов обязательно нужно перезагрузить компьютер или ноутбук для того, чтобы операционная система могла применить изменения.
Используем сторонние приложения
Нет сомнений в том, что определенные приложения разгрузят оперативную память быстрее и качественнее, чем пользователь. Но самые эффективные результаты достигаются в тех случаях, когда применены все вышеописанные настройки и задействованы приложения.
Мы рассмотрим несколько наиболее эффективных и популярных программ для очистки оперативной памяти компьютера от ненужного мусора. Они совершенно бесплатны и просты в использовании.
KCleaner
Не путать с CCleaner. Это мощнейшее приложение для быстрой очистки оперативной памяти. Оно совершенно не затрагивает системные службы, и в этом его главный плюс. Программа работает быстро и четко в любых ситуациях.
Скачать приложение можно совершенно бесплатно с официального сайта производителя. Установка происходит по стандартному сценарию. Единственное – не нужно менять путь установки. Алгоритм действий очень прост.
1. Запускаем программу с помощью ярлыка на рабочем столе.
2. Если нужна обычная очистка, то в главном окне программы щелкаем на кнопку «Очистить». Процесс начнется автоматически. По завершении приложение выдаст соответствующее сообщение.
3. Однако лучше всего использовать кнопку «Clean&Restart». Она запускает глубокую очистку, во время которой компьютер перезагружается.
Выполнять такую процедуру рекомендуется раз в месяц. KCleaner – это одна из тех программ, которые должны быть на компьютере любого пользователя. Она помогает поддерживать нормальную работу компьютера в любых условиях.
Mz RAM Booster
Еще одна превосходная утилита для работы с оперативной памятью. Она не только умеет чистить RAM, но и обладает богатым инструментарием по ее оптимизации. Интерфейс программы интуитивно понятен. Хоть адекватного русского языка и нет.
Скачать утилиту можно совершенно бесплатно с официального сайта разработчика. Процесс установки стандартен. Вопросов не возникнет даже у новичков. А для очистки оперативной памяти при помощи этой программы нужно сделать следующее.
1. Запускаем утилиту при помощи соответствующей иконки.
2. В главном окне программы достаточно нажать только одну кнопку «Smart Optimize». Начнется процесс очистки и оптимизации памяти. Когда он завершится, программа выдаст сообщение. На английском языке.
3. Есть у программы и опция оптимизации процессора. Для запуска этого задания достаточно нажать на кнопку «CPU Boost».
Mz RAM Booster умеет также оптимизировать ОС и постоянно мониторит состояние оперативной памяти и процессора. Весьма полезная программа, которая точно должна быть под рукой у каждого пользователя.
Wise Memory Optimizer
Небольшая утилита с широкими возможностями. Она предназначена исключительно для работы с оперативной памятью и умеет производить ее полную оптимизацию. Программа совершенно бесплатна, обладает приятным интерфейсом и полностью на русском языке.
Скачать утилиту можно совершенно бесплатно на сайте разработчика. Кстати, она использует открытый исходный код, что тоже неплохо. Установка утилиты очень проста. А пользоваться ей еще проще. Для оптимизации нужно сделать следующее.
1. Запускаем программу при помощи ярлыка на рабочем столе.
2. В главном окне нажимаем всего только одну кнопку под названием «Оптимизация».
Процесс начнется и закончится автоматически. Wise Memory Optimizer – один из самых миниатюрных оптимизаторов оперативной памяти. Весит приложение в установленном виде всего несколько мегабайт.
Заключение
Итак, выше мы рассмотрели способы оптимизации оперативной памяти компьютера и ее очистки. Конечно, использовать приложения намного проще, но лучшие результаты достигаются при применении ручных и автоматических методов. Стоит об этом помнить.
ВИДЕО: Как ОЧИСТИТЬ ОПЕРАТИВНУЮ ПАМЯТЬ на Компьютере
Как ОЧИСТИТЬ ОПЕРАТИВНУЮ ПАМЯТЬ на Компьютере
ТОП-3 Простых способа как очистить оперативную память на компьютере или ноутбуке под управлением в Windows 7/10
Источник
Битва за «оперативку» – как почистить ОЗУ?
Оперативная память позволяет хранить используемую в данный момент информацию для быстрого доступа. Она является энергозависимой, поэтому очищается всякий раз, как перезагружается или выключается компьютер. Объем ОЗУ ограничен, а при ее заполнении система производит выгрузку данных в файл подкачки. Постоянная нехватка «оперативки» приводит к снижению производительности ПК, появляются тормоза и лаги. В статье ниже назовем основных потребителей оперативной памяти, а также рассмотрим способы ее очистки.
Что ест оперативную память
Первым потребителем ОЗУ конечно же является сама операционная система. Объем, который она по умолчанию забирает, зависит от версии Windows и количества активных служб. Впрочем, последние оказывают лишь небольшое влияние на показатель. В Windows 10 достаточно большое количество «оперативки» расходуется на сбор и передачу телеметрии (статистики) – подробная информация, а также метод отключения функции представлен ниже.
Вторая категория потребителей – пользовательские программы. Они устанавливаются в качестве дополнения к стандартным средствам системы. Это тот же MS Office, видеоплеер, аудиоплеер, редактор фотографий, браузер и т.д. Если часть программ добавлена в автозагрузку, то они будут потреблять ОЗУ сразу после запуска Windows, независимо от использования в текущем сеансе.
Остальная память расходуется по причине различного рода программных сбоев и действий вирусов. Последние могут загрузить «оперативку» на 100%, при этом в диспетчере задач не получится увидеть процесс, потребляющий все ресурсы компьютера.
Как очистить оперативную память
На ноутбуке или стационарном компьютере, а также на разных версиях ОС Windows процедура очистки будет аналогична. Различия заключаются только в методе достижения желаемого результата. Осуществить задуманное можно как вручную, так и путем применения специальных программ.
Ручная очистка ОЗУ
Начать освобождение оперативной памяти следует с просмотра списка программ, добавленных в автозагрузку. Чем меньше их количество, тем свободней окажется начальный объем ОЗУ. Пошаговая инструкция для Windows 7 и ниже:
Для Windows 8 и 10 процедура аналогична, только настройка автозагрузки находится в приложении «Диспетчер задач». В него можно перейти, нажав сочетание клавиш Ctrl+Shift+Esc или кликнув правой кнопкой мыши по нижней панели и выбрав соответствующий пункт меню. Далее следует перейти во вкладку «Автозагрузка» и выполнить отключение программ. Здесь же получится увидеть степень их влияния на запуск ОС.
Очистка оперативной памяти в Windows 7 и других версиях операционной системы непосредственно во время ее работы выполняется через «Диспетчер задач». Для этого потребуется:
После выбора пункта «Снять задачу» произойдет немедленное закрытие программы. Чтобы не потерять данные (например, набранный в Word текст), следует предварительно их сохранить.
Самопроизвольное восстановление закрытого процесса может свидетельствовать о том, что он относится к деятельности вредоносного ПО. Аналогичный эффект наблюдается при закрытии системной задачи.
Программы для очистки ОЗУ
Дальше рассмотрим, как почистить оперативку на Виндовс 7, 8 и 10 с помощью специальных утилит. Самой простой программой, справляющейся с поставленной задачей, является Memory Cleaner. Она проведет анализ загруженности ОЗУ и найдет способы ее оптимизации. Программа использует встроенные возможности Windows, поэтому за работоспособность системы можно не переживать.
На главной вкладке отобразится информация относительно общего и занятного объема оперативной памяти, выделенной емкости диска для файла подкачки, а также средние значения по потреблению ОЗУ за время работы Memory Cleaner. Если показатель загруженности превышает 60%, необходимо кликнуть по кнопке «Trim Processes Working Set» – произойдет сброс ненужных процессов. Для очистки системного кэша используется кнопка «Clear System Cache» – функция позволяет оптимизировать использование памяти.
Mem Reduct – бесплатная и легкая программа для очистки оперативной памяти. Разработчики регулярно выпускают обновления, поэтому поддерживаются все версии Windows, начиная с XP (SP 3). Утилита использует не задокументированные встроенные системные функции для очистки системного кэша, что дает высвобождение от 10 до 50% ОЗУ. Пользоваться ею крайне просто, после запуска потребуется лишь нажать кнопку «Clean Memory». Также на главном окне можно посмотреть, сколько оперативной памяти потребляет Windows 10 до и после проведения оптимизации.
Mz RAM Booster – программа повышает быстродействие компьютера за счет автоматического высвобождения оперативной памяти и правильной настройки некоторых системных параметров Windows. Ее работа требует минимального количества ресурсов и практически не нагружает процессор. Поддерживается Windows XP, 2003, Vista и 7. На главном окне будет видна загрузка ОЗУ, справа в один клик запускается оптимизация работы системы или очистка ОЗУ.
Поиск и удаление вирусов
Как было сказано выше, деятельность вирусов также может приводить к чрезмерному потреблению оперативной памяти. Обнаружить вредоносное ПО в списке процессов через «Диспетчер задач» удается не всегда, поэтому, чтобы убедиться в его отсутствии, следует провести сканирование системы установленным антивирусом.
В настройках задач необходимо отметить все имеющиеся накопители – процедура займет больше времени, но позволит найти все угрозы. Иногда программа предлагает провести сканирование в среде DOS при следующем запуске системы – это необходимо для анализа системных файлов, занятых во время работы Windows.
Как разгрузить оперативную память в Windows 10
Новый способ высвобождения RAM-памяти появился с выходом очередной версии Windows. Дело в том, что в систему встроены сервисы отслеживания действий пользователя и сбора статистики. На их функционирование тратятся лишние ресурсы, в то время как для владельца ПК они не приносят очевидной выгоды.
Отключить функции слежения позволит программа Destroy Windows 10 Spying. Скачать установочный файл можно в разделе «DWS last version». После установки и запуска необходимо:
Процедура завершена. Чтобы убедиться в освобождении лишней оперативной памяти, можно открыть «Диспетчер задач» и сравнить текущие показатели с предыдущими.
Источник
Вы могли бы использовать отладчик ядра, который позволял бы получать доступ к «сырой» памяти, как SoftICE для Windows. Вы также можете настроить GDB для работы в качестве отладчика для ядра Linux. Если виртуальная машина является опцией, некоторые программы виртуализации поддерживают сохранение состояния машины (включая ОЗУ) на диск, который затем можно проанализировать. Следует отметить, однако, что большинство «современных» операционных систем используют рандомизацию размещения адресного пространства (ASLR). Настоящая карта физической памяти системы специально фрагментирована, чтобы помочь смягчить различные проблемы безопасности и эксплойты (например , переполнение буфера стека/кучи ).
Однако для данной программы, работающей в современной операционной системе, вы можете получить логическую карту памяти для данного процесса / потока — при условии, что у вас есть соответствующие символы отладки и отладчик. Если вам нужен общий вид, если программное / аппаратное обеспечение использует виртуальную память, ситуация становится значительно более сложной. Опять же, хотя, если вы буквально хотите, что только в оперативной памяти, см. Первый абзац.
Файл подкачки, или виртуальная память — это системный файл на жестком диске компьютера, который Windows использует, чтобы компенсировать нехватку оперативной памяти, если приложениям ее не хватает. Что это за файл, как он работает, что о нем нужно знать, как увеличить файл подкачки в Windows 10, или, наоборот — как отключить файл подкачки в Windows 10, читайте в нашей шпаргалке. В конце статьи — короткое видео, в котором все показано.
Файл подкачки в Windows: зачем он нужен и как работает?
Всем известно, что запущенные приложения на компьютере выполняются в оперативной памяти (ОЗУ, RAM). Выражаясь образно, при запуске приложения считываются с жесткого диска и временно «переписываются» в оперативную память. Вся информация в приложениях тоже хранится в оперативной памяти до тех пор, пока вы их не закроете.
Когда количество оперативной памяти заполняется, в дело вступает так называемый «файл подкачки». Это скрытый системный файл на жестком диске, который может выполнять функции ОЗУ. Вместо того, чтобы закрыть приложение, которому не хватает RAM, Windows скидывает его в файл подкачки и при необходимости возвращает обратно.
Какие приложения отправлять в файл подкачки, система решает сама. К примеру, приложение, которое долго находится в свернутом состоянии, может быть помечено системой как неактуальное. При нехватке RAM оно отправится в файл на жестком диске, чтобы немного почистить память.
В современных компьютерах устанавливается достаточно много ОЗУ, поэтому файл подкачки используется редко. Но если вы замечаете, что приложение при открытии немного «подлагивает», а индикатор жесткого диска на ПК мигает, значит, Windows возвратила его в RAM из файла подкачки. Если это происходит часто, стоит задуматься о том, чтобы докупить немного памяти.
Файл подкачки в Windows 10: что такое pagefile.sys и swapfile.sys?
В Windows 10, в отличии от более старых версий Windows, используются два файла подкачки: pagefile.sys и swapfile.sys. Они хранятся в корне диске C: и найти их можно, если включить на своем компьютере отображение скрытых и системных файлов.
В файл pagefile.sys при нехватке памяти отправляются обычные приложения, которые вы устанавливаете из разных источников — браузер, графический редактор, мессенджеры и так далее. А в файл swapfile.sys — встроенные приложения Windows 10 и приложения, установленные из Магазина Windows.
Swapfile и Pagefile всегда работают в паре. Объем swapfile.sys не превышает пары десятков мегабайт, а вот pagefile.sys в процессе работы может «раздуваться» до нескольких гигабайт. Из-за этого некоторые ищут способ, как отключить файл подкачки в Windows 10, чтобы освободить место на диске. Но если сделать это, отключится и swapfile.sys — а без него многие встроенные приложения Windows 10 просто перестанут запускаться.
Файл подкачки Windows 10: оптимальный размер
Вообще-то, ваша «виндовс» сама решает, какой объем файла подкачки ей нужен, и стандартного объема хватает в большинстве случаев. Кроме того, на компьютерах с большим количеством RAM он вообще довольно редко используется.
Но можно высчитать, сколько составляет оптимальный объем файла подкачки в Windows 10 и самостоятельно. Расскажем, как сделать это правильно.
- Откройте все нужные вам приложения. Затем запустите Диспетчер задач (Ctrl+Alt+Delete) и посмотрите на занятый объем RAM на вкладке Производительность.
- Умножьте объем занятой памяти на 2. К примеру, 3 Гбайт из 4 Гбайт занято, значит — 6 Гбайт.
- Вычитаем из полученного значения количество вашей RAM. 6 минус 4 — 2 Гбайт. Это и есть оптимальный размер файла подкачки для вашего ПК. Если у вас получился отрицательный размер, значит вам не надо увеличивать, уменьшать или вообще как-то изменять стандартный объем файла подкачки.
Не рекомендуется поднимать и повышать размер файла подкачки более чем в три раза от актуального объема ОЗУ.
Как увеличить файл подкачки в Windows 10?
Расскажем, как поставить файл подкачки на Windows 10 в оптимальное значение.
- Откройте меню Пуск, найдите и запустите приложение «Настройка представления и производительности системы«.
- Перейдите на вкладку Дополнительно и в разделе Виртуальная память щелкните Изменить.
- Снимите отметку возле пункта Автоматически выбирать объем файла подкачки.
- Выделите системный диск из списка, а затем нажмите Указать размер.
- В строке Исходный размер (МБ) укажите минимальный размер файла подкачки — он не должен быть меньше 800 Мбайт, а в строку Максимальный размер (МБ) введите нужный объем, который вы разрешите системе отнять. Значения должны быть указаны в мегабайтах (1 Гбайт = 1 024 Мбайт).
- После ввода новых параметров нажмите Задать, а затем Ок.
Как отключить файл подкачки в Windows 10?
Вообще-то, отключать файл подкачки не рекомендуется. Во-первых, приложения начнут «вылетать» (самопроизвольно перезагружаться), а некоторые вообще не смогут запуститься. Но если у вас много RAM, а место на жестком диске осталось мало, то отключение файла подкачки позволит освободить пару Гбайт. Главное — потом не пожалеть о своем решении. Может быть, вам поможет очистка диска, или нужно почаще очищать кэш браузера?
Нижеприведенные инструкции можно использовать на свой страх и риск!
Отключаем pagefile.sys
- Откройте Проводник, нажмите правой кнопкой мыши по Этот Компьютер и выберите Свойства.
- Нажмите в левом меню Дополнительные параметры системы.
- На вкладке Дополнительно найдите раздел Быстродействие и нажмите Параметры.
- Снова откроется новое окно. На нем откройте вкладку Дополнительно. В области Виртуальная память нажмите Изменить.
- Снимите отметку возле Автоматически выбирать объем файла подкачки. Установите отметку в положение Без файла подкачки и кликните Задать и ОК.
Отключаем swapfile.sys
- Обязательно сделайте точку восстановления системы.
- Нажмите Win + R и введите regedit, чтобы зайти в редактор реестра.
- Скопируйте в адресную строку редактора реестра следующий адрес: КомпьютерHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management
- В правой части окна редактора реестра нажмите правую кнопку мыши, выберите Создать – Значение DWORD (32-бита).
- Назовите его SwapfileControl и перезагрузите компьютер.
- После этого swapfile будет отключен. Включить файл подкачки в Windows 10 обратно можно, удалив созданный параметр.
Как переместить файл подкачки?
Есть небольшая хитрость, как настроить файл подкачки на Windows 10. Если в вашем компьютере стоят несколько дисков, можно перенести файл подкачки с системного диска (не раздела!) на другой диск.
- Для этого в уже знакомом приложении Настройка представления и производительности системы > Дополнительно > Виртуальная память нажмите Изменить.
- Снимите отметку возле пункта Автоматически выбирать объем файла подкачки. Затем выделите ваш системный диск и нажмите Без файла подкачки. Нажмите Задать > ОК.
- Выберите в том же списке диск, на котором вы хотите хранить файл подкачки. Нажмите Размер по выбору системы > Задать. Кликните ОК и перезагрузите компьютер, чтобы система применила ваши настройки.
ВАЖНО: не рекомендуется перемещать файл подкачки на накопитель типа SSD, так как это может сократить срок его службы, увеличив число циклов перезаписи.
Вот еще несколько полезных материалов по оптимизации:
- Освобождаем место на диске, переместив файл подкачки
- Сколько оперативной памяти нужно компьютеру?
- Как ускорить Windows: пошаговое руководство
Содержание
- 1 Анализ дампа оперативной памяти
- 2 Определение профиля
- 3 Получение информацию о компьютере
- 3.1 Процессы
- 3.2 История браузера
- 3.3 Список команд в консоли
- 3.4 Полезный прием при анализе оперативной памяти
- 4 Проверка информации
- 5 Дамп памяти
- 5.1 Извлечение картинок из дампа памяти
- 6 Заключение
Вы наверняка слышали про соревнования для хакеров и программисотв Capture The Flag (CTF). Одно из направлений таких соревнований — форензика (компьютерная криминалистика). В CTF теме форезники посвящены несколько групп: анализ жесткого диска, анализ оперативной памяти и изучение дампов трафика.
Еще по теме: Форензик кейс взлома Linux-серверов
В этой статье мы поговорим об анализе дампа оперативной памяти и рассмотрим одну довольно интересную особенность GIMP.
Анализ дампа оперативной памяти
Анализ памяти актуален в ситуации, когда есть или был физический доступ к компьютеру и была возможность снять дамп оперативной памяти. По слепку оперативной памяти можно определить, какие приложения запускались во время работы компьютера, данные процессов и получить другую полезную информацию. Все это можно сделать пока пользователь не выключил или не перезагрузил компьютер.
Как правило, для анализа оперативной памяти используют несколько приложений: Volatility, Memoryze и Autopsy (в связке с Volatility). Существуют и другие менее популярные инструменты, но в рамках этой статьи рассматривать их не будем.
Вы спросите а как же Autopsy? Конечно, это удобный инструмент, который может одним нажатием кнопки сделать комплексный анализ всего дампа. Но, если речь идет о соревнованиях, тогда важна скорость получения результатов, поэтому лучше использовать, что-то другое. Мы для анализа оперативной памяти будем использовать Volatility.
Перейдем к заданию. У нас есть дамп оперативной памяти и хеш MD5 для его проверки.
Скачиваем образ памяти на компьютер. В моем случае Kali Linux.
$ wget https://ams3.digitaloceanspaces.com/justctf/69f7647d-2f7a-4604-b9f6-553c6bb447ee/challenge.tar.gz |
Теперь распакуем слепок памяти:
$ tar —xzvf challenge.tar.gz |
И сразу же проверим, что с ним все в порядке:
$ md5sum pub/challenge.vmem |
Если хеш не сошелся с исходным хешем — придется еще раз скачать архив.
Важно использовать последнюю версию Volatility. Чтобы не было проблем с профилями. Если вы уже используете Volatility, я очень рекомендую обновиться.
Определение профиля
Для начала надо определить версию ОС, с которой был снят дамп. Это можно сделать командой imageinfo:
$ vol.py —f challenge.vmem imageinfo |
Обратите внимание на строчку с Suggested Profiles. Это указывает на версию дампа оперативной памяти — Win10x64_18362. Теперь нужно указать аргумент —profile Win10x64_18362 для последующих команд.
Если возникли какие-то непонятки с Volatility, тогда добро пожаловать Wiki.
Получение информацию о компьютере
Для начала надо искать информацию о:
- процессах;
- истории браузера;
- истории запущенных команд в консоли.
Этих 3 пунктов хватит для определения направления дальнейшей разведки.
Процессы
Чтобы найти процессы, нам достаточно использовать команду pstree. Есть еще pslist, но первая команда удобнее, потому что показывает процессы в виде дерева — так намного проще понять, на какие из них стоит обратить внимание.
$ vol.py —f challenge.vmem —profile Win10x64_18362 pstree |
Ничего бросающегося в глаза, вроде pswd_manager.exe или not_a_virus.exe, не видно, поэтому продолжим нашу разведку.
История браузера
Хоть в хинте (см. первый скрин) и говорилось, что «удаленный» не обязательно значит «браузер», мы проверим этот вектор. В Volatility есть готовый плагин для просмотра истории Internet Explorer — iehistory. И не говорите, что им уже никто не пользуется!
$ vol.py —f challenge.vmem —profile Win10x64_18362 iehistory |
Команда работала слишком долго на моей машине (порядка 20 минут) и завершаться не планировала. Это не считается нормальным поведением для Volatility, следовательно, тут искать нечего.
Если вы подумаете составлять задачки для CTF — имейте в виду, что задачи, в которых надо по полчаса брутить извращенные пароли или искать неуловимый API endpoint, никто не любит, и следующую задачу вам доверят делать еще не скоро.
Список команд в консоли
Есть еще одна удобная функция для проверки всех введенных в консоль команд. Возможно, пользователь запускал что‑нибудь из консоли или хранил там важные данные (например, флаг). Проверить все из консоли можно с помощью команды cmdscan.
$ vol.py —f challenge.vmem —profile Win10x6_18362 cmdscan |
Тут чисто — следовательно, терминал тоже не при делах.
Полезный прием при анализе оперативной памяти
Поскольку до сих пор не нашлось ничего интересного — мы что‑то упустили. Можно применить еще один полезный прием при анализе оперативной памяти — посмотреть на скриншот рабочего стола. Помогает он не сильно часто, но позволяет увидеть более полную картину.
Сделать скриншот всех окон процессов в системе можно с помощью команды screenshot. Обязательно нужно указать существующую конечную директорию, где будут находиться все снимки.
Важно понимать, что большинство картинок будут пустыми: это связано с тем, что не все окна вообще могут отображаться (для лучшего понимания рекомендую ознакомиться с документацией).
$ vol.py —f challenge.vmem —profile Win10x64_18362 screenshot —D shot/ |
К сожалению, команда заканчивается с ошибкой, так что этот трюк тоже не прошел и нам стоит вернуться к самому началу.
Проверка информации
В названии задачи фигурирует слово remote (удаленный) — давайте попробуем найти что‑то, что может взаимодействовать с сетью.
Попробуем снова проверить все процессы, которые у нас фигурируют в этом слепке оперативной памяти. Заметим среди них mstsc.exe — Microsoft Terminal Services Client, или, в простонародье, RDP-клиент.
RDP — это проприетарный протокол для доступа к удаленным рабочим столам. Для нас важно то, что протокол предусматривает передачу картинки по кадрам в виде сжатых битмапов, которые разжимаются и отображаются, а в это время хранятся в памяти.
Возможно, в этом процессе мы сможем найти флаг. Найдем его PID, чтобы мы могли сдампить память процесса:
$ vol.py —f challenge.vmem —profile Win10x64_18362 pslist | grep mstsc.exe |
Номер процесса — 6484.
Дамп памяти
У каждого процесса есть своя выделенная память, которая хранится как раз в оперативной памяти (внезапно, не так ли?). Попробуем сдампить ее, чтобы найти полезную информацию из этого процесса.
$ vol.py —f challenge.vmem —profile Win10x64_18362 memdump —p 6484 —D data |
Извлечение картинок из дампа памяти
Напоминаю, что mstsc.exe (да и другие RDP-клиенты тоже) получают картинку, которую хранят у себя где‑то в оперативной памяти. Благодаря этой особенности мы можем попробовать извлечь картинку из этого дампа процесса.
Возникнет только одна небольшая проблема: правильно подобрать смещение, так как картинка в памяти процесса хранится в сыром виде, и ни binwalk, ни foremost не могут ее отыскать, чтобы сохранить как отдельный файл.
Подобный трюк можно применять не только для процесса mstsc.exe, но и на процессы вроде mspaint.exe, virtualbox.exe и другие, которые работают примерно по такому же принципу. Для подбора смещения расчехляем графический редактор GIMP. Как прочитать картинку, если она начинается не в начале файла? Да запросто!
Нужно открыть дамп процесса как Raw Image Data, то есть как сырую картинку, иначе мы не сможем подбирать смещение.
Дальше появляется окошко, где мы можем выбирать смещение.
И начинаем его прокручивать. Для удобства я увеличил свое окошко по ширине, чтобы было легче управлять ползунком. Во время перемещения я заметил следующую картинку, которая похожа на кусок рабочего стола Windows, что наводит на мысль о близости к флагу.
Подкрутим еще немного и скорректируем размер по ширине.
А вот и флаг!
Заключение
Перед решением любых задач не забывайте обновлять используемые утилиты! Не обновив утилиту или неправильно прочитав документацию к ней, можно попасть в rabbit hole и не сдать задачу вовремя. А как мы знаем, не бывает поздно, бывает уже не надо.
Еще по теме: Дистрибутивы для криминалистического анализа