1 | |
Чтение памяти процесса16.09.2013, 00:13. Показов 10430. Ответов 6
Метки нет (Все метки)
Здравствуйте, пытаюсь найти кое-что в памяти процесса.
Вариант 1. Ищем нужную строку внутри исполняемого файла при помощи например IDA или чего другого, смотрим адрес нужной строки. Полученный адрес минус начальный адрес = смещение относительно начала. Теперь если сделать ReadProcessMemory на адрес загрузки исполняемого файла + смещение, то найдем нужную строку. Вариант 2. Исполняемый файл загружает библиотеку (.dll), и в этой библиотеке находится необходимая строка, которую нужно найти. Вопрос: где в памяти ее искать, зная смещение адреса этой строки относительно адреса загрузки .dllки? Пробовал по аналогии с вариантом 1, с помощью GetModuleHandleA (DLL_NAME), искал адрес dll, сдвигал на смещение, и находил мусор Подскажите, что я делаю не так, спасибо)
0
|
16.09.2013, 00:13 | |
Ответы с готовыми решениями:
6
Проверка и чтение памяти процесса Чтение/запись памяти процесса Чтение виртуальной памяти процесса Чтение памяти процесса. Динамические адреса |
16.09.2013, 01:29 | 2 | ||||||||||
1. Если файл не упакован/не зашифрован итп, проще всего искать в самом этом файле, а не в памяти.
2. Виртуальный адрес (VA) зависит не только от адреса загрузки модуля, но и от адреса смещения секции при загрузке (RVA). Проще всего использовать Hiew, который сделает все вычисления сам (http://www.hiew.ru), или иной редактор PE-файлов. Или так, основываясь на данных из заголовка и используемой секции:
0
|
16.09.2013, 05:53 [ТС] | 3 | |||||
У меня задача, не просто найти строку, а найти ее программным путем, чтобы подменить при загрузке приложения (использую DLL injection).
DWORD dwOfs = VA2OFS(Какой адрес отдавать сюда? Известное смещение?); DWORD offset = OFS2VA(dwOfs); Как дальше использовать offset? Или теперь offset это всяко адрес загрузки приложения? Сейчас я читаю вот так:
0
|
16.09.2013, 06:31 | 4 |
VA - Virtual address, Ofs - смещение в файле.
Если задача - менять в памяти, работайте с виртуальными адресами. DLL, в отличие от EXE, может быть ребазирована, адреса при этом будут перенастроены загрузчиком с учетом Relocation table. Relocation (computing) Посмотрите еще здесь: Использование DLL в программе на Visual C++ Загрузчик PE-файлов
0
|
16.09.2013, 07:45 [ТС] | 5 |
Ок, понял что VA2OFS и OFS2VA надо использовать для конвертирования Виртуального адреса в Смещение в файле и обратно.
Не могу разобраться как заставить GetSectionByOffset и _pNTHeader работать, надо что-то инклудить или тут посложнее будет? Подскажите
0
|
16.09.2013, 08:35 | 6 | |||||
Структуры описаны здесь: ImageHlp Structures
А GetSection - это просто итератор: пробегает в цикле по всем секциям, пока не найдет подходящую.
1
|
16.09.2013, 11:43 [ТС] | 7 |
да, похоже с наскока барьер взять не удастся) придется мне почитать доки по PE формату, но всё равно спасибо )
0
|
16.09.2013, 11:43 | |
16.09.2013, 11:43 | |
Помогаю со студенческими работами здесь
7
Чтение памяти процесса через загруженную в него dll О памяти процесса Чтение stdout дочернего процесса Сканирование памяти процесса Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |