首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]获得整个进程的汇编代码大小的函数是啥 0.00雪花
发表于: 2011-2-9 10:34 1177

[旧帖] [求助]获得整个进程的汇编代码大小的函数是啥 0.00雪花

zhaomeinv 活跃值
2011-2-9 10:34
1177
比如说我要遍历查找特征码
但是要 获取这个进程大小 方便点

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (5)
千里之外
雪    币: 217
活跃值: (68)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
私信
2
ZwQuerySystemInformation 获取模块基址和大小开始搜索
2011-2-9 10:40
0
zhaomeinv
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
能具体给下代码否
2011-2-9 12:59
0
smallskin
雪    币: 42
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
如果要找执行段的代码,那么 VirtualQuery (0-0x7FFFFFFF) 的每一页,每页大小在32bit系统下是0x1000,
如果带Protect 下带可以执行的标志,那么说明这一页是某段代码,你就可以在这一页中找你想要的特征值了

基本上是一个循环
for(ULONG_PTR p = 0; p != 0x80000000; p+0x1000)
{
     MEMORY_BASIC_INFORMATION mbi;
      VirtualQuery ((LPVOID)P, &mbi, sizeof(mbi))
      if(mbi.State == MEM_COMMIT)
     {
           switch(mbi.Protect)
           {
                case PAGE_EXECUTE:
                case PAGE_EXECUTE_READ:
                case PAGE_EXECUTE_READWRITE:
                case PAGE_EXECUTE_WRITECOPY:
                       好了这一页就是代码,你从 P 开始找你要的东西吧,长度是0x1000, 别越界了
                break;
           }
     }
     
}
2011-2-9 18:11
0
zhaomeinv
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
老大你这是查询本进程吧 俺要查询别人的进程
2011-2-14 05:42
0
exile
雪    币: 2105
活跃值: (424)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
6
枚举模块 分析PE文件
2011-2-14 09:41
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//