Dump DLL из процесса

@X-rayboy · Регистрация: 26.10.2010

Студворк — интернет-сервис помощи студентам

Возможно можно назвать это распаковка dll.
Методов распаковки библиотек можно сказать какой-то мудрёный на мой взгляд, которыми я пытался готовыми методами.
Я попробывал написать свой.
Уже так сказать протестил, скармив дампы библиотек IDA Pro. вроде что то дизасемблирует и не ругается что мол дизасемблирование на каком то этапе обламывается.

Конечно я упростил процесс дампа и по сути плохо разбираюсь как должно быть, возможно много не точностей.

Прошу поправить, если что, или указать, где можно уточниться в тонкости дампа.

C#
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.IO;
using System.Diagnostics;
using System.Runtime.InteropServices;
 
namespace DumpDll
{
    class Program
    {
        static void Main(string[] args)
        {
            string nameDll = "блабла.dll"; // название библиотеки в памяти
            BinaryWriter bw;
            Process[] proces;
            proces = Process.GetProcessesByName("блаблабла"); // Получить массив по названию процессов
            if (proces.Length > 0) // если есть хоть один процесс
            {
                bw = new BinaryWriter(File.Create(nameDll));
                uint m_bytesRead;
                Process proc = proces[0];   // Взять первый процесс
                //IntPtr ptr0 = proc.Handle;  // Получение дескриптора процесса
                UIntPtr ptr0 = new UIntPtr((uint)WinAPI.OpenProcess(WinAPI.PROCESS_ALL_ACCESS, false, proc.Id));
                ulong ptr1Count = 0x00010000; // адресс после запретной зоны
                WinAPI.MEMORY_BASIC_INFORMATION b; // Объявляем структуру
                UIntPtr ptr1 = new UIntPtr(ptr1Count);
                while (ptr1Count < 0xFFFF0000)
                {
                    WinAPI.VirtualQueryEx(ptr0, ptr1, out b, Marshal.SizeOf(typeof(WinAPI.MEMORY_BASIC_INFORMATION)));
                    if (b.State.ToString("X") != "10000")
                    {
                        StringBuilder nameFile = new StringBuilder(260);
                        if (b.Type == 0x1000000 /* MEM_IMAGE */)
                        {
                            WinAPI.GetMappedFileName(ptr0, ptr1, nameFile, nameFile.Capacity);
                            if (nameFile.ToString().IndexOf(nameDll) >= 0)
                            {
                                Console.WriteLine(b.BaseAddress.ToUInt64().ToString("X8") + " "
                        + b.AllocationBase.ToUInt64().ToString("X8") + " "
                        + b.RegionSize.ToUInt64().ToString("X8") + " "
                        + b.State.ToString("X") + " "
                        + b.AllocationProtect.ToString("X") + " "
                        + b.Protect.ToString("X") + " "
                        + b.Type.ToString("X") + " "
                        + nameFile);
                                // Чтение из памяти
                                byte[] buffer = new byte[0x100]; // буфер для чтения 256 байт
                                for (ulong data = ptr1Count; data < ptr1Count + (ulong)b.RegionSize; data += 0x100)
                                {
                                    WinAPI.ReadProcessMemory(
                                                ptr0,
                                                (UIntPtr)data,
                                                buffer, 0x100,
                                                out m_bytesRead); // Чтение из памяти 256 байт
                                    bw.Write(buffer); // запись в файл
                                }
                            }
                        }
                    }
                    ptr1Count = ptr1Count + (uint)b.RegionSize;
                    ptr1 = new UIntPtr(ptr1Count);
                }
                WinAPI.CloseHandle(ptr0);
                bw.Close();
            }
            else Console.WriteLine("Процесс не найден");
            Console.ReadKey();
        }
    }
}

@NickoTin · 20.01.2011, 22:43

C#
1
if (b.State.ToString("X") != "10000")

замени на

C#
1
if (b.State != 0x10000)

C#
1
if (b.Type == 0x1000000 /* MEM_IMAGE */)

читаешь только область тип которой MEM_IMAGE, а может все надо? [я не знаю]

У OpenProcess можно возвращающий тип изменить на UIntPtr.

@X-rayboy · 20.01.2011, 23:18 **[ТС]**

Сколько я наблюдал, что загруженные в виртуальную память библиотеки не фрагментируются, то есть если библиотека загружена от какого-то адреса, то она непрерывна в своём диапазоне, хотя доступ к памяти по разным регионам на протяжении библиотеки в памяти может быть разный.

Конечно могут существовать некие упаковщики, которые находятся вне этого диапазона библиотеки в памяти, но с этим я всё равно ничего не сделаю пока.
Думаю если достаточно понять как работает библиотека выудив, возможно, некоторые данные, то и смысл вытягивать больше?
Конечно, если данных не достаёт, то библиотека нерабочая сама по себе и это однозначно. Но учитывая сколько всякой суеты по защите кода, а дизасемблеров по процессу что-то не наблюдал, IDA только с файлом работает насколько я понял и, возможно, потому что файл статичен в каком то смысле, а процесс типа нет. Хотя можно было замараживать процесс на момент дизасемблирования. Порой бывает процесс настолько большой, что дизасемблер не может его "охватить", давая сбой на каком-то этапе.

Новые блоги и статьи Все статьи Все блоги /
Установка Qt Creator для C и C++: ставим среду, CMake и MinGW без фреймворка Qt 8Observer8 05.04.2026 Среду разработки Qt Creator можно установить без фреймворка Qt. Есть отдельный репозиторий для этой среды: https:/ / github. com/ qt-creator/ qt-creator, где можно скачать установщик, на вкладке Releases:. . .	AkelPad-скрипты, структуры, и немного лирики.. testuser2 05.04.2026 Такая программа, как AkelPad существует уже давно, и также давно существуют скрипты под нее. Тем не менее, прога живет, периодически что-то не спеша дополняется, улучшается. Что меня в первую очередь. . .	Отображение реквизитов в документе по условию и контроль их заполнения Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеСпецтехники", разработанного в конфигурации КА2. Данный документ берёт данные из другого нетипового документа. . .	Фото всей Земли с борта корабля Orion миссии Artemis II kumehtar 04.04.2026 Это первое подобное фото сделанное человеком за 50 лет. Снимок называют новым вариантом легендарной фотографии «The Blue Marble» 1972 года, сделанной с борта корабля «Аполлон-17». Новое фото. . .
Вывод диалогового окна перед закрытием, если документ не проведён Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: реализовать программный контроль на предмет проведения документа. . .	Программный контроль заполнения реквизитов табличной части документа Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: 1. Реализовать контроль заполнения реквизита. . .	wmic не является внутренней или внешней командой Maks 02.04.2026 Решение: DISM / Online / Add-Capability / CapabilityName:WMIC~~~~ Отсюда: https:/ / winitpro. ru/ index. php/ 2025/ 02/ 14/ komanda-wmic-ne-naydena/	Программная установка даты и запрет ее изменения Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: при создании документов установить период списания автоматически. . .

@X-rayboy 2 / 2 / 1 Регистрация: 26.10.2010 Сообщений: 19
	20.01.2011, 23:18 [ТС]
	Сколько я наблюдал, что загруженные в виртуальную память библиотеки не фрагментируются, то есть если библиотека загружена от какого-то адреса, то она непрерывна в своём диапазоне, хотя доступ к памяти по разным регионам на протяжении библиотеки в памяти может быть разный. Конечно могут существовать некие упаковщики, которые находятся вне этого диапазона библиотеки в памяти, но с этим я всё равно ничего не сделаю пока. Думаю если достаточно понять как работает библиотека выудив, возможно, некоторые данные, то и смысл вытягивать больше? Конечно, если данных не достаёт, то библиотека нерабочая сама по себе и это однозначно. Но учитывая сколько всякой суеты по защите кода, а дизасемблеров по процессу что-то не наблюдал, IDA только с файлом работает насколько я понял и, возможно, потому что файл статичен в каком то смысле, а процесс типа нет. Хотя можно было замараживать процесс на момент дизасемблирования. Порой бывает процесс настолько большой, что дизасемблер не может его "охватить", давая сбой на каком-то этапе. 0