首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 编程技术
    3. 发新帖
[求助]内存中定位PE头
2009-4-6 11:00 4750

[求助]内存中定位PE头

woosheep 活跃值
2009-4-6 11:00
4750
请教各位前辈,如何在内存中定位PE头

想在内存中获取PE的一些信息,PE头的位置好像会改变,如果是直接载入,一般是4X,加了壳以后好像就改变了,想知道怎么在内存里准确定位PE头的地址

PS:看OD已经做到了,不知是如何完成的呢,望指教

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
点赞0
打赏
分享
最新回复 (6)
iiii
雪    币: 393
活跃值: (100)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
私信
iiii 1 2009-4-6 11:08
2
0
invoke GetModuleHandle,NULL
woosheep
雪    币: 11
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
woosheep 2009-4-6 11:47
3
0
谢谢: )

我试了下,GetModuleHandle取得的应该是本进程的PE头位置,不知道远程进程该怎么取得呢?
iiii
雪    币: 393
活跃值: (100)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
私信
iiii 1 2009-4-6 12:18
4
0
这个, 有点取巧

SIZE_T WINAPI VirtualQueryEx(
__in HANDLE hProcess,
__in_opt LPCVOID lpAddress,
__out PMEMORY_BASIC_INFORMATION lpBuffer,
__in SIZE_T dwLength
);

typedef struct _MEMORY_BASIC_INFORMATION {
PVOID BaseAddress;
PVOID AllocationBase;
DWORD AllocationProtect;
SIZE_T RegionSize;
DWORD State;
DWORD Protect;
DWORD Type;
} MEMORY_BASIC_INFORMATION,
*PMEMORY_BASIC_INFORMATION;
woosheep
雪    币: 11
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
woosheep 2009-4-6 12:42
5
0
谢谢指点

我去试试:)
tianci
雪    币: 247
活跃值: (126)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
tianci 2009-4-6 17:56
6
0
在论坛的dump教学帖中有!
woosheep
雪    币: 11
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
woosheep 2009-4-10 16:16
7
0
如果LS指的是 浅谈脱壳中的Dump技术

他并不是获取,而是直接指定
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回