Question

Есть ли способ прочитать таблицу импорта другого процесса?
Функция ImageNtHeader здесь мне не поможет, потому что она применяется только к моему процессу, а не к другому процессу.
Я знаю, что могу прочитать весь файл и разобрать его PE-заголовок, но, боюсь, это займет много времени, если файл большой.

Есть ли способ сделать это, используя непосредственную память процесса и не читая из файла?
Любой другой простой и приятный способ сделать это тоже будет великолепен:)

Necrolis · Answer 1 · 18 ноября 2011

просто используйте psapi или toolhlp32, чтобы найти адреса памяти интересующих вас модулей процессов. Как только вы это сделаете, вы можете использовать ReadProcessMemory для получения необходимой информации.иначе просто притворитесь отладчиком и присоединитесь к целевому процессу, чтобы у вас был полный доступ к его памяти, тогда вы можете использовать макросы Windows PE.

Чтение таблицы импорта запущенного процесса

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Чтение таблицы импорта запущенного процесса

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы