Просмотреть память и скинуть в файл

Сейчас на форуме: ==DJ==[ZLO], Magister Yoda, Rio (+5 невидимых)

Посл.ответ	Сообщение
PalR Ранг: 30.4 (посетитель) Активность: 0.02↘0.01 Статус: Участник	Создано: 13 декабря 2004 11:07 · Личное сообщение · #1 Прога обращается к файлу базы данных, пожатому и пошифрованному. При запуске распаковывает и расшифровывает его в память. Т.к. если файл базы удалить, то прога нормально работает. Чем можно просмотреть содержимое памяти и скинуть на диск, чтобы поизучать. Какой струмент нужен?

Bit-hack Ранг: 303.7 (мудрец), 4thx Активность: 0.19↘0 Статус: Участник tPORt Manager	Создано: 13 декабря 2004 11:10 · Личное сообщение · #2 Отладчик, например Olly Debugger или SoftIce ещё катит WinHex, а можно вообще сдампить прогу(PeTools, LordPe, ProcDump...) и смотреть её Hex редактором.
-= ALEX =- Ранг: 260.3 (наставник), 2thx Активность: 0.12↘0 Статус: Участник PPC-PROTECT author	Создано: 13 декабря 2004 11:25 · Личное сообщение · #3 Bit-hack дамп не поможет, база рассшифровывается в аллоченную память... ----- Пиво, сиськи, транс
PalR Ранг: 30.4 (посетитель) Активность: 0.02↘0.01 Статус: Участник	Создано: 13 декабря 2004 11:43 · Личное сообщение · #4 Bit-hack Мне не сама прога сейчас интересна, я её уже загнул . Мне теперь база интересна. Короче нужно сдампить всю память. Получить чтото вроде hiberfil.sys.
Bit-hack Ранг: 303.7 (мудрец), 4thx Активность: 0.19↘0 Статус: Участник tPORt Manager	Создано: 13 декабря 2004 11:45 · Личное сообщение · #5 PalR пишет: Получить чтото вроде hiberfil.sys. Ты чё? Попутал? Отладчик тебе в руки! В hiberfil.sys ты х.. чё найдёшь! Там такая муть!
nice Ранг: 384.1 (мудрец) Активность: 0.25↘0 Статус: Участник www.int3.net	Создано: 13 декабря 2004 11:59 · Личное сообщение · #6 PalR PeToos - dump region ----- Подписи - ЗЛО! Нужно убирать!
S_T_A_S_ Ранг: 163.7 (ветеран) Активность: 0.07↘0 Статус: Участник	Создано: 13 декабря 2004 19:43 · Личное сообщение · #7 PalR Наверняка расшифровывается в память выделенную VirtualAlloc, брякайся на неё, так ты узнаешь адреса. Потом останется проверьть по каким из этих адресов находятся расшифрованные данные и сохранить их на винт.
Gelios Ранг: 39.1 (посетитель) Активность: 0.03↘0 Статус: Участник	Создано: 14 декабря 2004 04:37 · Личное сообщение · #8 в том же олли можно сохранить блок памяти на диск
TRUF Ранг: 29.1 (посетитель) Активность: 0.01↘0 Статус: Участник	Создано: 14 декабря 2004 04:42 · Личное сообщение · #9 А что за база, Paradox, Access и т.п. или самолепная?
-= ALEX =- Ранг: 260.3 (наставник), 2thx Активность: 0.12↘0 Статус: Участник PPC-PROTECT author	Создано: 14 декабря 2004 04:44 · Личное сообщение · #10 TRUF какая ж она самолепная ----- Пиво, сиськи, транс
TRUF Ранг: 29.1 (посетитель) Активность: 0.01↘0 Статус: Участник	Создано: 14 декабря 2004 05:03 · Личное сообщение · #11 Ну типа кодер с похмалья сам себе БД замутил А если какой стандарт, да еще стандартами жмется и криптуется - это может существенно дело упростить. Чуешь куда клоню..
PalR Ранг: 30.4 (посетитель) Активность: 0.02↘0.01 Статус: Участник	Создано: 14 декабря 2004 11:32 · Личное сообщение · #12 TRUF Вроде самолепная. То что пожата - факт. 7z и RAR ужать сильнее уже не могут. Никаких опознавательных знаков каких либо архиваторов найти пока не удалось.
Ara Ранг: 1288.1 (!!!!), 273thx Активность: 1.29↘0 Статус: Участник	Создано: 14 декабря 2004 12:20 · Личное сообщение · #13 PalR пишет: Никаких опознавательных знаков каких либо архиваторов найти пока не удалось. Ага, я тож такой хренью занимался. Нужно раскпаковщик было сделать для таких файлов. Опознавательных знаков тож не было. Но по распакованному файлу Bad_Guy определил алгоритм архивации и в инете нашли потом что-то похожее... Так что скидывай распакованный кусок на диск (лучше олькой, потом в блокноте можно смотреть) и выкладывай в аттач, кто-то мож увидит знакомое...

Для печати