Categoría Descargas Software Programas
Categoría Descargas Software Programas

Microsoft Procdump

Microsoft ProcDump – El generador de volcados de memoria que diagnostica problemas críticos de rendimiento

Descripción del programa Microsoft ProcDump

Microsoft ProcDump es una utilidad de línea de comandos desarrollada por Mark Russinovich y Andrew Richards, parte del conjunto de herramientas Sysinternals de Microsoft, que Microsoft adquirió en 2006. Lanzada originalmente como una herramienta interna de diagnóstico, ProcDump se ha convertido en un estándar en el arsenal de administradores de sistemas y desarrolladores para diagnosticar problemas críticos de rendimiento, fallos y bloqueos en aplicaciones Windows.

A diferencia de las herramientas de volcado de memoria tradicionales que generan una captura manual del estado de un proceso, ProcDump se especializa en monitoreo proactivo. Su propósito principal es vigilar una aplicación y generar un volcado de memoria (dump) de forma automática cuando ocurre un evento específico: un pico de CPU, un bloqueo de ventana, una excepción no controlada, o cuando se supera un umbral definido por el administrador.

Esta capacidad de «disparo por condición» es lo que distingue a ProcDump de herramientas como el Administrador de tareas o la consola de Windows Debugging Tools. Un administrador puede configurar ProcDump para que se ejecute en segundo plano durante días, esperando a que una aplicación comience a consumir excesiva memoria o CPU, y automáticamente capture el estado exacto del proceso en el momento del problema, sin necesidad de intervención manual.

ProcDump es ampliamente utilizado en entornos de producción, especialmente para diagnosticar:

  • Aplicaciones IIS y ASP.NET: Captura de volcados de w3wp.exe cuando se produce un pico de memoria o CPU.
  • Aplicaciones de escritorio: Diagnóstico de bloqueos o congelamientos en aplicaciones como Excel, Outlook o aplicaciones personalizadas.
  • Servicios críticos: Como el servicio Veeam ONE, donde los dumps generados por ProcDump contienen información más útil que los métodos nativos de Windows.
  • Análisis forense y seguridad: ProcDump es una de las herramientas con firma digital de Microsoft utilizadas para volcar la memoria del proceso LSASS sin levantar sospechas.

¿Necesitas diagnosticar por qué una aplicación consume toda la memoria de tu servidor sin tener que estar presente en el momento exacto del fallo?

Características clave de Microsoft ProcDump

1. Monitoreo por umbral de CPU y memoria

ProcDump puede generar volcados automáticamente cuando el uso de CPU o memoria de un proceso supera (o cae por debajo de) un umbral definido durante un período específico. Esto es esencial para diagnosticar problemas intermitentes que ocurren en momentos impredecibles:

  • -c \: Genera un dump cuando el uso de CPU supera el porcentaje especificado durante al menos el tiempo definido por -s.
  • -cl \: Genera un dump cuando el uso de CPU cae por debajo del porcentaje especificado.
  • -m \: Genera un dump cuando el uso de memoria comprometida supera el valor en MB especificado.

Por ejemplo, para capturar un dump cuando un proceso supera el 80% de CPU durante 10 segundos consecutivos, se usa: procdump -c 80 -s 10 -ma nombre_proceso.

2. Monitoreo por bloqueo de ventana (Hung Window)

ProcDump puede detectar cuando una aplicación deja de responder a los mensajes de Windows durante al menos 5 segundos, un síntoma clásico de congelamiento o «hang». El parámetro -h habilita esta funcionalidad, que utiliza la misma definición de ventana bloqueada que el Administrador de tareas de Windows.

Esta característica es especialmente útil para diagnosticar aplicaciones con interfaz gráfica que se quedan congeladas sin generar una excepción.

3. Captura por excepciones no controladas

ProcDump puede generar un volcado en el momento exacto en que una aplicación lanza una excepción no controlada. El parámetro -e habilita esta funcionalidad, y opcionalmente se puede incluir 1 para capturar también excepciones de primera oportunidad (first-chance exceptions).

Esto es crucial para diagnosticar fallos (crashes) en aplicaciones que terminan inesperadamente.

4. Múltiples tipos de volcado (Full, Mini, MiniPlus)

ProcDump permite seleccionar el nivel de detalle del volcado generado, equilibrando la calidad de la información con el tamaño del archivo resultante:

TipoParámetroDescripción
Full-maIncluye toda la memoria del proceso (imagen, mapeada y privada). Ideal para depuración completa.
MiniPlus-mpIncluye toda la memoria privada y de lectura/escritura, excluyendo la mayor área de memoria privada para reducir el tamaño entre un 10% y un 75% respecto a un dump completo. Especialmente útil para SQL Server y Exchange.
Mini-mmIncluye solo la memoria referenciada (pilas) y todos los metadatos. Es el formato por defecto.
Triage-mtIncluye solo la memoria directamente referenciada y metadatos limitados. Intenta eliminar información sensible.
Kernel-mkIncluye también las pilas del kernel de los hilos del proceso (no compatible con clonación).

5. Clonación de procesos (-r) para minimizar impacto

En sistemas Windows 8.1 y superiores, ProcDump puede utilizar clonación de procesos (PSS – Process Snapshot Service) para generar un volcado sin suspender el proceso objetivo. El parámetro -r habilita esta funcionalidad, que es especialmente valiosa en entornos de producción donde no se puede permitir interrumpir un servicio crítico.

Cuando se usa clonación, ProcDump crea una instantánea del proceso en el momento de la captura, permitiendo que el proceso original continúe ejecutándose sin pausas significativas. El límite de clones concurrentes es de 1 a 5 (predeterminado 1).

6. Modo de post-mortem debugger (-i)

ProcDump puede instalarse como el depurador post-mortem del sistema con el parámetro -i. Esto significa que cuando cualquier aplicación falla con una excepción no controlada, Windows ejecutará automáticamente ProcDump para capturar un volcado, en lugar de mostrar el diálogo estándar de error.

Esta funcionalidad es extremadamente útil en servidores donde se desea registrar automáticamente los fallos de cualquier aplicación sin intervención manual.

7. Espera a que el proceso se inicie (-w)

El parámetro -w permite a ProcDump esperar a que el proceso especificado se inicie si no está ejecutándose en el momento de la ejecución. Esto es útil en scripts de diagnóstico donde el proceso objetivo puede iniciarse después de que ProcDump comience a ejecutarse.

8. Volcado en cadena (-n y -s)

ProcDump puede generar múltiples volcados secuenciales. El parámetro -n \<Count\> define el número de volcados a generar antes de salir, y -s \<Seconds\> define el intervalo entre volcados. Esto permite capturar la evolución de un problema a lo largo del tiempo.

Explicación detallada del funcionamiento

La arquitectura de ProcDump se basa en el uso de APIs de depuración de Windows y contadores de rendimiento del sistema. A diferencia de otras herramientas que requieren la intervención de un depurador interactivo, ProcDump opera de forma autónoma, ejecutándose como un proceso en segundo plano.

El flujo de trabajo típico del programa es el siguiente:

  1. El usuario especifica el proceso objetivo: por PID (número de identificador), nombre del proceso, o nombre del servicio. También puede indicar que espere a que el proceso se inicie (-w).
  2. Se definen las condiciones de disparo: El usuario configura umbrales de CPU, memoria, excepciones o bloqueos de ventana. ProcDump comienza a monitorear estos indicadores.
  3. Monitoreo continuo: ProcDump utiliza la API WaitForDebugEvent y consulta periódicamente los contadores de rendimiento del proceso para evaluar si se cumplen las condiciones.
  4. Disparo y captura: Cuando se cumple una condición (por ejemplo, uso de CPU > 80% durante 10 segundos), ProcDump invoca la función MiniDumpWriteDump de la biblioteca DbgHelp.dll para generar el volcado de memoria. Si se usa clonación (-r), primero crea una instantánea del proceso mediante la API PssCaptureSnapshot y luego genera el volcado desde la instantánea, minimizando el impacto en el proceso original.
  5. Post-procesamiento: El volcado se guarda en el disco con un nombre que incluye el nombre del proceso, la fecha y la hora (ej. notepad_220115_143025.dmp). Si se especificó un número de volcados, el proceso se repite.

El uso de clonación (-r) es particularmente importante en entornos de producción. Antes de Windows 8.1, ProcDump utilizaba «Reflection», que requería suspender el proceso objetivo. En Windows 8.1 y superiores, utiliza PSS (Process Snapshot Service), que permite capturar el estado del proceso sin suspenderlo. Esto es crucial para servicios como IIS o SQL Server donde una pausa, aunque sea breve, podría afectar a miles de usuarios.

Además de su uso legítimo, ProcDump es ampliamente utilizado en pruebas de penetración y análisis forense debido a que está firmado digitalmente por Microsoft. Esta firma permite que ProcDump sea ejecutado en sistemas donde las políticas de seguridad bloquean software no firmado, y a menudo pasa desapercibido para las soluciones antivirus.

En particular, ProcDump es una de las herramientas más utilizadas para volcar la memoria del proceso LSASS, que contiene credenciales de inicio de sesión. El comando procdump -ma lsass.exe genera un archivo de volcado que luego puede ser analizado con herramientas como Mimikatz para extraer contraseñas y hashes. Por esta razón, los equipos de seguridad monitorizan el uso de ProcDump en entornos corporativos.

Descarga e instalación de Microsoft ProcDump

  • Desarrollador: Microsoft Sysinternals (Mark Russinovich, Andrew Richards)
  • Página Oficial: https://learn.microsoft.com/sysinternals/downloads/procdump
  • Versión actual: v11.1 (13 de noviembre de 2025)
  • Tamaño: 1.1 MB (archivo comprimido)
  • Arquitecturas: Incluye versiones de 32 bits (procdump.exe) y 64 bits (procdump64.exe)
  • Descarga directa: http://live.sysinternals.com/procdump.exe
  • Licencia: Freeware (gratuito para uso comercial y personal)
  • Sistemas operativos compatibles: Windows 7, 8, 8.1, 10, 11, Windows Server 2008/2012/2016/2019/2022
  • Idioma: Interfaz en inglés (línea de comandos)
  • Soporte técnico: Documentación oficial en Microsoft Learn, foros de Sysinternals

Instalación paso a paso:

  1. Descarga el archivo Procdump.zip desde la página oficial de Sysinternals.
  2. Extrae el contenido del archivo ZIP.
  3. Copia los ejecutables (procdump.exe y procdump64.exe) a una carpeta de tu sistema, como C:\Tools\ o C:\Windows\System32 para que esté disponible en el PATH.
  4. Opcional: Agrega la carpeta al PATH del sistema para ejecutar ProcDump desde cualquier ubicación.

Cómo usar Microsoft ProcDump

Advertencia de seguridad: ProcDump es una herramienta poderosa que, en manos malintencionadas, puede utilizarse para extraer información sensible de la memoria del sistema. Asegúrate de usarla únicamente en sistemas que poseas o tengas autorización para diagnosticar.

Requisito de licencia: La primera vez que se ejecuta ProcDump, se debe aceptar el Acuerdo de Licencia de Sysinternals con el parámetro -accepteula.

Comandos básicos

1. Generar un volcado manual completo de un proceso por nombre:

procdump -ma -accepteula notepad.exe

Esto genera un volcado completo (-ma) del proceso notepad.exe en el directorio actual.

2. Generar un volcado manual completo de un proceso por PID:

procdump -ma 4572

Donde 4572 es el identificador de proceso (PID). Se puede obtener el PID desde el Administrador de tareas o con el comando tasklist.

3. Generar 3 volcados espaciados 5 segundos:

procdump -n 3 -s 5 notepad.exe

Genera 3 volcados en formato mini, con 5 segundos de intervalo entre cada uno.

Monitoreo por condiciones

4. Capturar dump cuando el uso de CPU supere el 20% durante 5 segundos:

procdump -c 20 -s 5 -ma notepad.exe

Esta es una de las opciones más útiles para diagnosticar aplicaciones que se «disparan» en CPU periódicamente.

5. Capturar dump cuando el uso de memoria supere 1 GB (1024 MB):

procdump -m 1024 -ma -n 3 w3wp.exe

Útil para diagnosticar fugas de memoria en aplicaciones web IIS.

6. Capturar dump cuando la aplicación se bloquee (ventana sin respuesta):

procdump -h -ma "ApplicationName.exe"

Genera un dump completo cuando la ventana de la aplicación no responde durante 5 segundos.

7. Capturar dump cuando ocurra una excepción no controlada (crash):

procdump -e -ma "ApplicationName.exe"

Genera un dump completo en el momento exacto del fallo.

Modo post-mortem debugger

8. Instalar ProcDump como depurador post-mortem:

procdump -i C:\Dumps

A partir de este momento, cualquier fallo de aplicación generará automáticamente un volcado completo en C:\Dumps.

9. Desinstalar ProcDump como depurador post-mortem:

procdump -u

Restaura la configuración original de depuración de Windows.

Uso con clonación (recomendado para entornos de producción)

10. Capturar dump mediante clonación para minimizar impacto:

procdump -r -ma -c 80 -s 10 w3wp.exe

Utiliza clonación de procesos (PSS) para generar el volcado sin suspender el proceso objetivo.

Observaciones sobre el programa Microsoft ProcDump

Frente a otras herramientas de volcado de memoria como las incluidas en el Windows SDK (Userdump, ADPlus) o las opciones del Administrador de tareas, ProcDump destaca por su capacidad de monitoreo autónomo y su naturaleza ligera. Mientras que el Administrador de tareas requiere intervención manual para generar un dump, ProcDump puede ejecutarse durante días esperando a que ocurra un evento específico, generando automáticamente la evidencia necesaria para el diagnóstico.

Para el administrador de sistemas, el beneficio práctico es la reducción drástica del tiempo de diagnóstico. En lugar de tener que «atrapar» manualmente una aplicación en el momento del fallo (lo que puede ser imposible si el problema es intermitente), se puede configurar ProcDump con los umbrales apropiados y esperar a que capture el estado exacto del proceso.

El desarrollo de ProcDump es activo y está bajo el paraguas de Microsoft Sysinternals. La versión actual, v11.1, fue publicada en noviembre de 2025, y Mark Russinovich (CTO de Azure en Microsoft) sigue involucrado en el mantenimiento de las herramientas Sysinternals.

ProcDump es una herramienta de doble uso. Por un lado, es indispensable para diagnósticos técnicos legítimos. Por otro, es ampliamente utilizada en pruebas de penetración y por actores maliciosos. La razón es simple: al estar firmado por Microsoft, las soluciones antivirus y EDR suelen confiar en ProcDump, permitiéndole leer la memoria de procesos protegidos como LSASS sin levantar alertas.

Los equipos de seguridad monitorizan activamente el uso de ProcDump en entornos corporativos. La ejecución de procdump.exe con el parámetro -ma sobre lsass.exe es una indicación clara de actividad maliciosa y debe ser investigada.

Casos de uso documentados:

  • Microsoft Q&A: Usuarios utilizan ProcDump para capturar dumps de Excel que se reinician inesperadamente.
  • Veeam: La empresa recomienda ProcDump sobre los métodos nativos de Windows para generar dumps de sus servicios, ya que contienen información más útil.
  • 4D: Desarrolladores de aplicaciones 4D utilizan ProcDump para depurar aplicaciones que se bloquean o congelan, distinguiendo entre crashes (-e) y hangs (-h).

Limitaciones importantes a considerar:

  • En Windows 7 y Windows 8.0, el parámetro -e (excepciones) no es compatible debido a limitaciones del sistema operativo.
  • La clonación (-r) no es compatible con volcados de kernel (-mk).
  • En sistemas con alta concurrencia, el uso de clones múltiples puede impactar el rendimiento del sistema (máximo recomendado 5 clones).

Limitaciones importantes

  • Herramienta de doble uso: Puede ser utilizada maliciosamente para extraer credenciales de la memoria (LSASS), por lo que su uso está monitorizado en entornos corporativos.
  • Requiere aceptación de licencia: La primera ejecución requiere el parámetro -accepteula, que puede omitirse fácilmente si no se conoce.
  • Limitaciones en Windows 7/8.0: No es compatible con el monitoreo por excepciones (-e) en estas versiones.
  • Curva de aprendizaje: La cantidad de parámetros y opciones puede resultar abrumadora para usuarios no familiarizados con la línea de comandos.
  • Sin interfaz gráfica: Es exclusivamente una herramienta de línea de comandos, lo que puede intimidar a usuarios principiantes.

Alternativa recomendada

Si buscas alternativas a ProcDump para la captura de volcados de memoria, considera las siguientes opciones:

DebugDiag (Debug Diagnostic Tool): Herramienta de Microsoft con interfaz gráfica, especialmente diseñada para diagnosticar problemas en aplicaciones IIS y.NET. Ofrece asistentes para configurar reglas de captura y análisis integrado de volcados.

Userdump.exe: Herramienta más antigua de Microsoft (parte del OEM Support Tools) que permite generar volcados de procesos. Menos flexible que ProcDump y sin soporte activo.

PowerShell con Get-Process y Debugging APIs: Para scripts personalizados, se puede utilizar Get-Process para obtener el PID y luego invocar MiniDumpWriteDump mediante P/Invoke, aunque es significativamente más complejo.

Sysinternals Process Explorer: Herramienta gráfica que permite generar volcados manuales de procesos con un clic, ideal para análisis puntuales, pero sin capacidad de monitoreo automático.

Microsoft ProcDump es la herramienta de referencia para el diagnóstico proactivo de problemas de rendimiento y estabilidad en aplicaciones Windows. Su capacidad para monitorear y capturar automáticamente el estado exacto de un proceso cuando se cumplen condiciones específicas lo convierte en un aliado indispensable para administradores de sistemas y desarrolladores. Puedes descargarlo desde la página oficial de Sysinternals.

Sección FAQ

¿Microsoft ProcDump es gratis o de pago?

Microsoft ProcDump es completamente gratuito (freeware). Es parte del conjunto de herramientas Sysinternals, que Microsoft distribuye sin coste para uso comercial y personal.

¿Funciona en Linux, macOS, Windows 10 y Windows 11?

ProcDump está diseñado exclusivamente para sistemas Windows. Es compatible con Windows 10 y Windows 11 (32 y 64 bits), así como con Windows 7, 8, Windows Server 2008/2012/2016/2019/2022. No existen versiones nativas para Linux o macOS.

¿Qué diferencia a ProcDump de la opción «Crear archivo de volcado» del Administrador de tareas?

La principal diferencia es la automatización. El Administrador de tareas solo permite generar volcados manualmente, mientras que ProcDump puede monitorear un proceso durante días y generar volcados automáticamente cuando se cumplen condiciones específicas (pico de CPU, excepción, bloqueo de ventana).

¿Puedo usar ProcDump para volcar la memoria de LSASS y extraer contraseñas?

Sí, técnicamente es posible con el comando procdump -ma lsass.exe, y luego analizar el volcado con Mimikatz. Sin embargo, esta acción es considerada maliciosa en la mayoría de los contextos y está estrictamente prohibida en sistemas que no sean de tu propiedad o sin autorización explícita. Los equipos de seguridad monitorizan activamente este tipo de actividad.

¿Qué ha pasado con el desarrollo de ProcDump?

El desarrollo de ProcDump es activo y continuo. La versión más reciente, v11.1, fue publicada el 13 de noviembre de 2025. Las herramientas Sysinternals, incluyendo ProcDump, son mantenidas por Microsoft y reciben actualizaciones periódicas con nuevas funcionalidades y correcciones.

Descargas