[ `and @ 18.06.2005. 18:03 ] @
| Kako da uradim dump npr kernel32.dll iz memorije u fajl. Ako moze primer ili hint u C jeziku, ili ako ima neki API kao sto je ReadProcessMemory i sl ... tnx |
|
[ `and @ 18.06.2005. 18:03 ] @
[ Sundance @ 21.06.2005. 06:27 ] @
1. Uzmi handle na njega sa GetModuleHandle() koji predstavlja njegov imagebase u tvom adresnom prostoru.
2. Parsaj PE Section Header-e (IMAGE_SECTION_HEADER ) i dumpaj okvirno page-eve (po 4K na x86) koji ti trebaju (recimo za .code sekciju) u intervalu od imagebase + SectionHeader.VirtualAddress do imagebase + SectionHeader.VirtualSize. Za više info o PE formatu pogledati imagehlp.dll dokumentaciju u MSDN-u, koji sadrži puno pomoćnih fja. Ili, recimo ovako: http://www.codeproject.com/threads/MDumpAll.asp ali ovo je više metoda "grube sile". Ukoliko ti ne treba programsko rješenje, pogledaj alatić pmdump. Sve to naravno, defenzivnim taktikama ogradi SEH-om, IsBadReadPtr()/IsBadWritePtr() i sl. Copyright (C) 2001-2025 by www.elitesecurity.org. All rights reserved.
|