| Сейчас на форуме: asfa, bartolomeo, hgdagon (+6 невидимых) |
 |
eXeL@B —› Программирование —› Как еще можно читать память процесса, кроме ReadProcessMemory? |
| Посл.ответ | Сообщение |
|
|
Создано: 22 мая 2006 23:21 · Личное сообщение · #1 Кроме драйвера. ----- MicroSoft? Is it some kind of a toilet paper?  |
|
|
Создано: 22 мая 2006 23:30 · Личное сообщение · #2 внедриться в процес можно |
|
|
Создано: 22 мая 2006 23:46 · Личное сообщение · #3 через Native API, т.е. формально способ тот же что и ReadProcessMemory |
|
|
Создано: 22 мая 2006 23:54 · Личное сообщение · #4 ZwReadVirtualMemory считай тоже самое |
|
|
Создано: 23 мая 2006 00:07 · Личное сообщение · #5 read_me пишет: внедриться в процес можно ну, а дальше просто mov eax, dword ptr [адрес]? Т.е. отловить не получится? 
Asterix пишет: через Native API, т.е. формально способ тот же что и ReadProcessMemory а можно поподробнее? 
----- MicroSoft? Is it some kind of a toilet paper? |
|
|
Создано: 23 мая 2006 00:12 · Поправил: read_me · Личное сообщение · #6 что отловить неполучится? я бы посоветовал просканить память на пригодность к чтению есть какаято функция и считывать нужные куски по pe заголовку к примеру |
|
|
Создано: 23 мая 2006 00:39 · Личное сообщение · #7 Tim пишет: Т.е. отловить не получится? Можно сам процесс внедрения отловить. OpenProcess, CreateRemoteThread, если мне память не изменяет. Tim пишет: а можно поподробнее? Уже говорили - ZwReadVirtualMemory из ntdll.dll. Она вызывается при вызове ReadProcessMemory. Опять же говорю насколько сам помню, если ошибаюсь - знающие люди меня поправят. |
|
|
Создано: 23 мая 2006 12:56 · Поправил: Error_Log · Личное сообщение · #8 Tim пишет: а можно поподробнее ZwReadVirtualMemory reads virtual memory in the user mode address range of another process. NTSYSAPI NTSTATUS NTAPI ZwReadVirtualMemory( IN HANDLE ProcessHandle, IN PVOID BaseAddress, OUT PVOID Buffer, IN ULONG BufferLength, OUT PULONG ReturnLength OPTIONAL ); Parameters ProcessHandle A handle of a process object, representing the process from which the virtual memory should be read.The handle must grant PROCESS_VM_READ access. BaseAddress The base address of the virtual memory to read. Buffer Points to a caller-allocated buffer or variable that receives the contents of the virtual memory. BufferLength Specifies the size in bytes of Buffer and the number of bytes of virtual memory to read. ReturnLength Optionally points to a variable that receives the number of bytes actually returned to Buffer if the call was successful. If this information is not needed, ReturnLength may be a null pointer. Return Value Returns STATUS_SUCCESS or an error status, such as STATUS_ACCESS_VIOLATION or STATUS_PROCESS_IS_TERMINATING. Related Win32 Functions ReadProcessMemory. ----- Research is my purpose |
|
eXeL@B —› Программирование —› Как еще можно читать память процесса, кроме ReadProcessMemory? |
Для печати