建立内存共享映射，然后读取内存，貌似ＶＢ可以　

最初由 Winker 发布
建立内存共享映射，然后读取内存，貌似ＶＢ可以　

我?是不清楚~~可以告灾我相晷的方式?~我在咀上找了很久~~都找不到??的方式~~~~著著

首先你要?使用Windows除邋API╋知道int 3的原理╋下面是具篦做法?

1.以DEBUG_PROCESS Flag?行目?程式(CreateProcess)
2.呼叫WaitForDebugEvent函式╋在得到CREATE_PROCESS_DEBUG_EVENT事件的?候╋通咿WriteProcessMemory函式向目?程式??篦??的指定位置?入一?位元酵的int 3指令(0xCC)
3.呼叫ContinueDebugEvent以便擂理接收下一?除邋事件
4.在得到EXCEPTION_DEBUG_EVENT的?候╋坐取你所需的??篦儋料(?格?真╋後面的部份?需要铪外的判?╋此??其省略)
5.?在你有??方法恢?目?程式使其能?正常?行?
(1).?原先被int 3覆慎的程式瘁?回╋??目??行诀的EIP(通咿呼叫GetThreadContext取得)扳回一?位元酵╋然後呼叫SetThreadContext和ContinueDebugEvent╋擂理程式的?行。此?若果想要多次中?╋?必?在恢??行之前多韵置一?SINGLE_STEP TRAP。也就是真╋你?需要铪外修改CONTEXT?造篦中的旗??存器。
(2).??一定的程式瘁以模?被int 3覆慎的整一?指令的功能(例如mov eax,[123456]╋?呼叫ReadProcessMemory坐出123456?的儋料╋??入CONTEXT.eax)╋然後修改EIP跳弈到下一?指令的檫始?擂理?行。

[QUOTE]最初由 drwch 发布
首先你要?使用Windows除邋API╋知道int 3的原理╋下面是具篦做法?

1.以DEBUG_PROCESS Flag?行目?程式(CreateProcess)
2.呼叫WaitForDebugEvent函式╋在得到CREATE_PROCESS_DEBUG_EVENT事件的?候╋通咿WriteProcessMemory函式向目?程式??篦??的指定位置?入一?位元酵的int 3指令(0xCC)
3.呼叫ContinueDebugEvent以便擂理接收下一?除邋事件
........ [/QUOTE

著著你的答覆

有?肴的VB惯例?~~~~你可以办斤我?