| Сейчас на форуме: asfa, _MBK_, Adler, bartolomeo (+8 невидимых) |
 |
eXeL@B —› Вопросы новичков —› Чем открыть RAM в 64-х битной системе? |
| Посл.ответ | Сообщение |
|
|
Создано: 26 июня 2012 23:14 · Личное сообщение · #1 Раньше у меня были только 32-х битные системы. Подарили 64-х битную. Раньше я смотрел RAM либо в ВинХексе, либо дампил с помощью ЛордПЕ или ПЕТулз и потом смотрел. Но теперь эти программы не видят 64-х битные приложения. Чем все-таки можно или сдампить или просто посмотреть RAM?  |
|
|
Создано: 26 июня 2012 23:18 · Личное сообщение · #2 попробуй Hex Editor Neo, в нем есть поддержка x64, в нём даже il код можно смотреть! | Сообщение посчитали полезным: Kuzya69 |
|
|
Создано: 26 июня 2012 23:18 · Поправил: Vnv · Личное сообщение · #3 http://exelab.ru/download.php?action=list&n=NzA= http://www.ntcore.com/exsuite.php | Сообщение посчитали полезным: Kuzya69 |
|
|
Создано: 13 сентября 2012 16:56 · Поправил: Kuzya69 · Личное сообщение · #4 Продолжу немного тему. Допустим. Я запустил запакованное 64-х битное приложение. Открыл процесс в "Hex Editor Neo". Скопировал память с адреса 0х0000000140000000, до определенного места. В этом куске мне нужно найти определенную последовательность ассемблерных команд. Точно все команды я еще не знаю, но могу написать приблизительный шаблон. В принципе, это для понятия всей задачи. Теперь я так понимаю, что мне надо загрузить этот дамп в IDA-дизассемблер. Получить ассемблерный листинг дампа. И потом искать в этом листинге мои команды. Вот тут у меня и начинается самая трудность. Подскажите кто-нибудь поэтапно как это сделать? Уж слишком много вариантов у меня получается, для этой, простой для вас, процедуры. Для начала, хотя-бы научите как правильно загружать дамп процесса в ИДу? До этого изучал Олли-дебагер. За ИДу взялся первый раз. Прошу прощения. |
|
|
Создано: 13 сентября 2012 19:05 · Личное сообщение · #5 Берешь ImpRec64 или его аналог. Дампишь процесс как есть Открываешь идой64 игнорируя ошибки Ищешь свои команды ----- старый пень |
|
|
Создано: 13 сентября 2012 19:39 · Личное сообщение · #6 ProcessHacker вроде делает дампы тоже |
|
|
Создано: 13 сентября 2012 19:48 · Поправил: Vovan666 · Личное сообщение · #7 Можно не заморачиваться с дампами, а просто приаттачится к процессу и там уже искать последовательность. Debugger->Attach |
|
|
Создано: 13 сентября 2012 20:55 · Личное сообщение · #8 Vovan666 Приаттачиться вообще не получается, только запускаю ИДУ, прога пропадает(закрывается). А при запущенной ИДе, прога даже не запускается. reversecode Попробую, только дампы мне-то вроде как не нужны, есть ХексНео вроде открывает процесс. r_e Тоже попробую, но не понимаю, чем ХексНео не нравится? А вообще на вопрос ответьте, плиз, как дамп подключать к ИДе, просто последовательность нажатий скажите? А то там и процессора вроде под 64 бита два штуки, и какие адреса куда вводить для ИДы? |
|
|
Создано: 13 сентября 2012 21:09 · Поправил: F_a_u_s_t · Личное сообщение · #9 Kuzya69 Мну для анализа памяти испльзует , плюсы, инфа по процессам, чтение памяти, анализ крэш дампом, матчинг в виде yara, дизасм опционально, в общем есть все вещи первой необходимости, работает на 32 и 64 бита, годный инструмент. |
|
|
Создано: 13 сентября 2012 23:14 · Личное сообщение · #10 Kuzya69 ХексНео? не знаю такого. зачем мне лишние тулзы, если все решается стандартным набором? ----- старый пень |
|
eXeL@B —› Вопросы новичков —› Чем открыть RAM в 64-х битной системе? |
Для печати