Ver módulos que carga el proceso notepad
1 |
Get-Process -Name notepad -Module | Sort-Object ModuleName |
Buscar el módulo DLL en el fichero de volcado
1 2 3 4 5 6 |
#Crear fichero de volcado $Proceso=Get-Process -Name notepad $NombreF=(($Proceso).name)+'.dmp' $Fichero = New-Object IO.FileStream($NombreF,[IO.FileMode]::Create) (([PSObject].Assembly.GetType('System.Management.Automation.WindowsErrorReporting')).GetNestedType('NativeMethods', 'NonPublic')).GetMethod('MiniDumpWriteDump',[Reflection.BindingFlags] 'NonPublic, Static').Invoke($null, @($Proceso.Handle,$Proceso.Id,$Fichero.SafeFileHandle,[UInt32] 2,[IntPtr]::Zero,[IntPtr]::Zero,[IntPtr]::Zero)) $Fichero.Close() |