state-snapshot

state-snapshot 技能为在 x64dbg 调试器中分析的进程提供了一种强大的机制，用于捕获其易失性的运行时环境。通过序列化整个进程内存空间和完整的处理器上下文，该工具使安全研究人员、逆向工程师和恶意软件分析师能够将应用程序的确切状态持久化到磁盘。此功能对于必须暂停主动调试，或者需要进行深度、非侵入式离线检查的场景至关重要，例如在复杂的漏洞利用开发、脱壳受保护的二进制文件或分析多阶段载荷期间。该技能旨在直接与 x64dbg 自动化引擎交互，确保内存完整性，并提供适合下游自动分析工具（如内存取证框架或差异分析脚本）的结构化输出格式。

• 执行目标进程中所有已提交内存区域的完整内存转储。

• 捕获完整的处理器寄存器状态，包括通用寄存器、浮点寄存器和系统寄存器，并序列化为结构化的 JSON 文件。

• 与 x64dbg-automate 框架集成，确保在不丢失进程上下文的情况下安全地分离并重新连接调试器会话。

• 为内存区域生成原始二进制文件，便于与标准十六进制编辑器及二进制分析工具集兼容。

• 自动管理输出目录结构，使用基于时间戳的命名方式，以实现高效的版本控制与历史追踪。

• 用户在启动快照序列前，必须确保目标进程已加载至 x64dbg 中。

• 此技能需要与 MCP 客户端断开连接，以获取调试器进程的独占 ZMQ 控制权，并将在操作完成后自动恢复连接。

• 预期的输入包括 x64dbg 路径和会话 PID，通常由插件的内部机制进行管理。

• 内存快照的大小取决于目标进程的内存占用情况；请确保磁盘有足够的空间来存储大型二进制转储文件。

• 此技能是其他高级诊断插件（如 state-diff 和 yara-sigs）的基础先决条件，这些插件依赖于这些状态文件的持久性来进行比较和基于特征码的威胁检测。