首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]如何获取内存镜像
发表于: 2013-3-6 21:15 4940

[求助]如何获取内存镜像

csjwaman 活跃值
24
2013-3-6 21:15
4940
00400000   00001000   cleanerb              PE 文件头          Imag   R         RWE
00401000   00001000   cleanerb   .text      SFX,代码           Imag   R         RWE
00402000   00001000   cleanerb   .rdata     数据,输入表        Imag   R         RWE
00403000   00001000   cleanerb   .data                         Imag   R         RWE
00404000   00001000   cleanerb   .rsrc      资源               Imag   R         RWE
004F0000   00003000                                            Priv   RW        RW
005C0000   0002D000                                            Priv   RW        RW
006C0000   000B8000                                            Map    R         R
710E0000   00001000   comctl32              PE 文件头          Imag   R         RWE

以上是OD加载了程序后的部分内存镜像。请问OD是用什么API列出以上内容的?
其中地址006C0000,大小000B8000的区段,大小固定,但地址是动态的。
不借助OD,有没有办法用固定的大小值来找到这个地址?

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (5)
坦然
雪    币: 32
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
这个貌似是WIN PE内容,楼主那么多精华不知是否看过PE,如果没看过可以去看看,将的还行,我看过,内容和你所要的差不多。
2013-3-6 21:59
0
王者之剑
雪    币: 142
活跃值: (22)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
3
兄弟。。。。对不起了。。。。看来我真不了解了。。。。去找了好多资料也没找到答案。。。。
2013-3-7 00:36
0
csjwaman
雪    币: 319
活跃值: (2439)
能力值: ( LV12,RANK:980 )
在线值:
发帖
回帖
粉丝
私信
4
004F0000以后的3个区段是临时申请的。不是PE文件原有的。
2013-3-7 09:05
0
vienna
雪    币: 217
活跃值: (25)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
5
VirtualQueryEx 能不能搞到楼主要的?
2013-3-7 17:44
0
csjwaman
雪    币: 319
活跃值: (2439)
能力值: ( LV12,RANK:980 )
在线值:
发帖
回帖
粉丝
私信
6
感谢回答,应该就是这个VirtualQueryEx
2013-3-7 18:13
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//