Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
[Win32] Memory search 24.03.02 07:53 Число просмотров: 881
Автор: ggg <ggg> Статус: Elderman
|
> Как в оперативной памяти найти по маске начало к-либо либы?
берёшь и ищешь в цикле
сравниваешь память с маской
в чём проблема то?
только не забудь исключения ловить
и ещё:
dll & exe могут быть загружены только по адресу кратному 64к - оптимизируй поиск
|
|
<programming>
|
[Win32] Memory search 23.03.02 23:33
Автор: Zlobnui_Mydak[HitU] <Pr3DV+0Я> Статус: Member
|
|
Как в оперативной памяти найти по маске начало к-либо либы?
|
|
Наверно я отстал от жизни 25.03.02 18:32
Автор: PS <PS> Статус: Elderman
Отредактировано 26.03.02 00:40 Количество правок: 1
|
но:
1. нично не лежит в памяти с именованным ключом. (это же не БД)
2. а как ты в пользовательском процессе собираешся перелопатить всю память ?
3. Искать будешь включая своп ?
4. успеешь вперед операционки проследить загрузку - выгрузку ?
ИМХО фигня какая-то.
|
|
[Win32] Memory search 24.03.02 07:53
Автор: ggg <ggg> Статус: Elderman
|
> Как в оперативной памяти найти по маске начало к-либо либы?
берёшь и ищешь в цикле
сравниваешь память с маской
в чём проблема то?
только не забудь исключения ловить
и ещё:
dll & exe могут быть загружены только по адресу кратному 64к - оптимизируй поиск
|
|
[Win32] Точнее 23.03.02 23:37
Автор: Sidor Статус: Незарегистрированный пользователь
|
|
Что ты имеешь в виду пол либой -- DLL, драйвер, образ EXE или чо-то ещё?
|
| |
[Win32] Точнее 25.03.02 13:18
Автор: Zlobnui_Mydak[HitU] <Pr3DV+0Я> Статус: Member
|
Ну например мне нужно найти в памяти начало Kernel32.dll [NT5.0]..по какой маске его лучше искать ...или тот же *.vxd
Кстати не подскажите-есть ли в NT давно устоявшиеся драйвера или длл-ки которые не менялись бы от СП к СП ?
|
| | |
[Win32] z0mbie.host.sk 25.03.02 21:59
Автор: vh <Дмитрий> Статус: Member
|
сабж - статья, вирусы под win32
там подробно описан поиск начала дллки в памяти...
еще здесь http://sbvc.cjb.net/
|
| | | |
[Win32] 2 vh 26.03.02 00:51
Автор: Zlobnui_Mydak[HitU] <Pr3DV+0Я> Статус: Member
|
спасибо за линк...нашёл все, что хотел
офигенный ресурс...я как то патался туда зайти тока "0" вместо "o" не додумался влепить %)
вопрос закрыт
|
| | |
[Win32] Точнее 25.03.02 16:23
Автор: BOBAH Статус: Незарегистрированный пользователь
|
Что значит "найти в памяти начало Kernel32.dll" ?
DLL, как и любой др. исполняемый модуль, не лежит в памяти в первозданном виде, а разбрасывается загрузчиком по памяти секциями исходя из PE-заголовка.
> Ну например мне нужно найти в памяти начало Kernel32.dll
> [NT5.0]..по какой маске его лучше искать ...или тот же
> *.vxd
> Кстати не подскажите-есть ли в NT давно устоявшиеся
> драйвера или длл-ки которые не менялись бы от СП к СП ?
|
|
|
подробно о проекте
Анализ криптографических сетевых...
