-
-
[旧帖] 请教内存读文件问题 0.00雪花
-
发表于: 2012-5-28 10:41
-
更新问题:我怎么读出内存pe文件的总长度呢(就是到文件尾)?我想读出自身的程序在内存中的全部内容,没加壳的和加任意壳都能读出来
如题我用
基址 = GetModuleHandle (0)
句柄 = OpenProcess (#PROCESS_ALL_ACCESS, 0, GetCurrentProcessId ())
ReadProcessMemory (句柄, 基址, 整体文件, 1000, 0) ' 读内存映像头
然后写到文件,通过比较,如果程序不加壳,取到的内存映像头跟原程序一样,如果加壳了,取出来有三个节节不一样,如图,谁知道是什么问题呢
左边是从内存拷贝出来的,右边为正确的磁盘文件
如题我用
基址 = GetModuleHandle (0)
句柄 = OpenProcess (#PROCESS_ALL_ACCESS, 0, GetCurrentProcessId ())
ReadProcessMemory (句柄, 基址, 整体文件, 1000, 0) ' 读内存映像头
然后写到文件,通过比较,如果程序不加壳,取到的内存映像头跟原程序一样,如果加壳了,取出来有三个节节不一样,如图,谁知道是什么问题呢
左边是从内存拷贝出来的,右边为正确的磁盘文件
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
后两个目测是区段属性,从60000040被修改0xE0000040添加了可写属性。
应该是壳中代码执行完成以后修改了PE头 
|
|
|
|
|
|
|
