Програма грузит из зашифрованого файла в память пдфку и розшифровывает ее. Поиском по памяти в Олле пдфка находиться. Как ее отдута сдампить? (Читать через ReadProcessMemory память запущеного процеса и искать сигнатуру начала и конца пдф файла, закинуть в буфер байти по адресам от начала и до конца пдфа. Содержимое буфера записать в файл?????)

| Сообщение посчитали полезным:

yanus0 пишет:
Как ее отдута сдампить?
Возьми PETools и с помощью него сдампь регион памяти нужного размера

| Сообщение посчитали полезным:

K_O_T
согласен, можно PEToolsом сдампить, можна в Олле, но нужно автоматизировать процес!

| Сообщение посчитали полезным:

Ты одобрения ждёшь что ли?
Читать через ReadProcessMemory память запущеного процеса и искать сигнатуру начала и конца пдф файла, закинуть в буфер байти по адресам от начала и до конца пдфа. Содержимое буфера записать в файл.
одобряю.

| Сообщение посчитали полезным:

прогу не показал, но могу предположить, что сначала она берёт память через VirtualAlloc (например), а потом пишет в этот регион памяти
примерный алго:
* ловишь (хучишь) VirtualAlloc, при каждом вызове запоминаешь адрес памяти и размер
* ставишь железный бряк на запись дворда по этому адресу
* при срабатывании бряка, проверяшь на память на наличие "%PDF"
* если данные соответствуют - дампишь регион (размер знаешь заранее)

-----
EnJoy!

| Сообщение посчитали полезным: