首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[讨论]如果确定目标内存地址,属于哪个模块的
发表于: 2007-8-24 23:38 6317

[讨论]如果确定目标内存地址,属于哪个模块的

baohongyu 活跃值
2007-8-24 23:38
6317
例:

在目标进程中, 0xE980766 位置出现一个敏感数据。 我需要知道这个内存区是属于哪个模块的。有什么方法知道呢?

因为这个内存可能是新申请的。不属于固定内存。可能下次的时候变成 0xD654320 了。

以前在看雪的论坛里看过类似的文章。当时在看雪里看了一天的文章,头晕了,没保存。没办法,只能开新贴再问了

[课程]Android-CTF解题方法汇总!

收藏
免费 0
支持
分享
最新回复 (8)
baohongyu
雪    币: 306
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
自己顶下 123
2007-8-25 09:12
0
大菜一号
雪    币: 424
活跃值: (10)
能力值: ( LV9,RANK:850 )
在线值:
发帖
回帖
粉丝
私信
3
看OD标题栏
2007-8-25 11:34
0
AloneWolf
雪    币: 12963
活跃值: (3957)
能力值: ( LV15,RANK:1575 )
在线值:
发帖
回帖
粉丝
私信
4
VirtualQuery 好象可以,不过偶也米用过.
2007-8-25 11:43
0
jhjzero
雪    币: 212
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
5
如果不是数据段固定偏移的数据,而是动态分配的,那么最简单的办法就是对它下断点,然后看代码是如何访问这个数据的。
一般都会有位于数据段固定位置的指针来通过几次间接寻址指向它,否则那个程序本身也不可能访问这个数据了。
2007-8-25 11:48
0
zzsx
雪    币: 214
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
用VirtualQuery获得AllocationBase,然后通过GetModuleFileNameA(AllocationBase)来得到模块名称。
2007-8-31 03:07
0
linxer
雪    币: 1746
活跃值: (287)
能力值: (RANK:450 )
在线值:
发帖
回帖
粉丝
私信
7
对这种地址0xE980766,好象楼上的方法不行,具体没试过
2007-9-1 13:19
0
卡秋莎
雪    币: 144
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
学习下
2007-9-1 16:40
0
zzsx
雪    币: 214
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
VirtualQuery只对DLL模块镜像范围内的地址有效。否则,你可能只有用调试器,通过硬件读写断点来查了。
2007-9-6 03:51
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//