Адресное пространство процесса

@александр13 · Регистрация: 30.08.2009

Студворк — интернет-сервис помощи студентам

здравствуйте! подскажите как узнать (какие апифункции использовать) адресное пространство системного процесс (какую область памяти он занимает)

@Patch · 26.11.2009, 09:26

для программ Win32 Win64 вопрос бессмысленный.
у каждого процесса собственное адресное пространство.
размером от 0х0 до 0хFFFFFFFFFFFFFFFF или больше, по разрядности системы.

@александр13 · 26.11.2009, 19:42 **[ТС]**

у меня мобильное устройство, и я хочу снять дамп нужного мне процесса, допустим explorer.exe
но для этого мне надо знать откуда начинать дампить, с какого адреса. как узнать его?
или можно как-то получить указатель на этот процесс, а из него адрес?

@denbessonov · 26.11.2009, 20:33

Почитайте про VirtualQueryEx и ReadProcessMemory, думаю, как раз то, что Вам нужно

@АЛексанДР1 · 26.11.2009, 22:04

да, с ReadProcessMemory знаком, с помощь нее и собираюсь считывать дамп

C++

BOOL ReadProcessMemory(
  HANDLE hProcess,
  LPCVOID lpBaseAddress,
  LPVOID lpBuffer,
  SIZE_T nSize,
  SIZE_T* lpNumberOfBytesRead
);

вот только второй параметр (LPCVOID lpBaseAddress) надо взять откудато((
а фунуция VirtualQueryEx под windows mobile не работает(

@XuTPbIu_MuHTAu · 27.11.2009, 01:27

Блин,уже не первый раз вижу этот вопрос. lpBaseAdress - адрес внутри(!) адресного пространства процесса,с которого начинать читать.

@Patch · 27.11.2009, 06:33

Не по теме:

Чем дольше живу, тем устойчивее ощущение, что есть в человеческих мозгах фундаментальное ограничение.
Идея о собственном адресном пространстве процесса воспринимается примерно как идея о безграничности вселенной - логически все понятно, но душа не принимает и все!
И начинаются поиски подвоха... :scratch:

@АЛексанДР1 · 27.11.2009, 20:06

да меня дошло, спасибо =)
только при использование этой функции она НЕ считывает значения если брать с нулевого адресса. Пробовал для одного процесс, считывает начиная с 11000, для другого с 65396, если брать меньше число в качастве 2го параметра этой функции, то отказывается считывать значения памяти. С чем это может быть связано? объясните этот момент)

@odip · 27.11.2009, 22:58

По нулевому адресу обычно ничего и не лежит.
Это адрес куда указывает указатель NULL.

Скорее всего это просто защита такая - процесс кладется в памяти не с самого начала, а немного по-разному. На выполнении кода это никак не сказывается, а вот сделать переполнение буфера и выполнить нужный код, который в памяти все время лежит по разным смещениям НАМНОГО труднее.

@александр13 0 / 0 / 0 Регистрация: 30.08.2009 Сообщений: 20
		1
	Адресное пространство процесса 25.11.2009, 19:39. Показов 3053. Ответов 8 Метки нет (Все метки) здравствуйте! подскажите как узнать (какие апифункции использовать) адресное пространство системного процесс (какую область памяти он занимает) 0

@Patch 2342 / 498 / 22 Регистрация: 01.04.2009 Сообщений: 2,200
	26.11.2009, 09:26	2
	для программ Win32 Win64 вопрос бессмысленный. у каждого процесса собственное адресное пространство. размером от 0х0 до 0хFFFFFFFFFFFFFFFF или больше, по разрядности системы. 0

@александр13 0 / 0 / 0 Регистрация: 30.08.2009 Сообщений: 20
	26.11.2009, 19:42 [ТС]	3
	у меня мобильное устройство, и я хочу снять дамп нужного мне процесса, допустим explorer.exe но для этого мне надо знать откуда начинать дампить, с какого адреса. как узнать его? или можно как-то получить указатель на этот процесс, а из него адрес? 0

@denbessonov 3 / 3 / 0 Регистрация: 14.12.2008 Сообщений: 14
	26.11.2009, 20:33	4
	Почитайте про VirtualQueryEx и ReadProcessMemory, думаю, как раз то, что Вам нужно 0

@XuTPbIu_MuHTAu 2254 / 769 / 25 Регистрация: 27.05.2008 Сообщений: 1,496
	27.11.2009, 01:27	6
	Блин,уже не первый раз вижу этот вопрос. lpBaseAdress - адрес внутри(!) адресного пространства процесса,с которого начинать читать. 0

@Patch
	27.11.2009, 06:33 #7
	Не по теме: Чем дольше живу, тем устойчивее ощущение, что есть в человеческих мозгах фундаментальное ограничение. Идея о собственном адресном пространстве процесса воспринимается примерно как идея о безграничности вселенной - логически все понятно, но душа не принимает и все! И начинаются поиски подвоха... :scratch: 2

@АЛексанДР1 0 / 0 / 0 Регистрация: 12.10.2009 Сообщений: 6
	27.11.2009, 20:06	8
	да меня дошло, спасибо =) только при использование этой функции она НЕ считывает значения если брать с нулевого адресса. Пробовал для одного процесс, считывает начиная с 11000, для другого с 65396, если брать меньше число в качастве 2го параметра этой функции, то отказывается считывать значения памяти. С чем это может быть связано? объясните этот момент) 0

@odip 7175 / 3234 / 81 Регистрация: 17.06.2009 Сообщений: 14,164
	27.11.2009, 22:58	9
	По нулевому адресу обычно ничего и не лежит. Это адрес куда указывает указатель NULL. Скорее всего это просто защита такая - процесс кладется в памяти не с самого начала, а немного по-разному. На выполнении кода это никак не сказывается, а вот сделать переполнение буфера и выполнить нужный код, который в памяти все время лежит по разным смещениям НАМНОГО труднее. 0

Опции темы