69,382
社区成员
发帖
与我相关
我的任务
分享
...全文
请发表友善的回复…
发表回复
yvhkpgf 2008-07-22
- 打赏
- 举报
学习学习
Kenny_Glacier 2008-07-22
- 打赏
- 举报
拷贝全部内存,个人感觉用程序实现,在user mode下是不可能,但是有其他办法。
1.虚拟机,在虚拟机上可以snap内存(不过不知道保存下来的文件是什么格式)
2.搞一个可以让xp蓝屏的驱动程序,或者你去搜一个叫NotMyFault的测试程序也可以把xp搞蓝屏,然后右键点我的电脑->属性->高级->启动与恢复->下面有一个写调试信息,选面全部的保存那项(我是E文系统,是Complite memory dump)然后你把xp搞蓝屏了,系统就会把全部内存保存下来了,保存路径也是在刚才的地方设置(dump文件里包含内存的2进制码)
1.虚拟机,在虚拟机上可以snap内存(不过不知道保存下来的文件是什么格式)
2.搞一个可以让xp蓝屏的驱动程序,或者你去搜一个叫NotMyFault的测试程序也可以把xp搞蓝屏,然后右键点我的电脑->属性->高级->启动与恢复->下面有一个写调试信息,选面全部的保存那项(我是E文系统,是Complite memory dump)然后你把xp搞蓝屏了,系统就会把全部内存保存下来了,保存路径也是在刚才的地方设置(dump文件里包含内存的2进制码)
hai040 2008-07-22
- 打赏
- 举报
当copy到拷贝程序自己所用的内存会不会出错?
aozhi 2008-07-22
- 打赏
- 举报
2
Portable Executable的缩写,根据COFF(Common Object File Format)发展起来的。比NE(New Executable)进步了很多
具体去看雪学院看看
Portable Executable的缩写,根据COFF(Common Object File Format)发展起来的。比NE(New Executable)进步了很多
具体去看雪学院看看
青葱岁月不可追 2008-07-22
- 打赏
- 举报
进来学习,期待楼下的高手们!~
yyyapple 2008-07-22
- 打赏
- 举报
物理内存内容是动态的,时刻变化的,不知道为什么要这样做?
在PC机上,用户态访问是受限的;
系统文件全是二进制,估计也没什么好看的,还不如看看操作系统源码,反正要加载上去;
windows PE 是一个基于windowsXP核心的迷你操作系统,是安装在光盘上的并且只能从光盘引导的简化版Windows XP
在PC机上,用户态访问是受限的;
系统文件全是二进制,估计也没什么好看的,还不如看看操作系统源码,反正要加载上去;
windows PE 是一个基于windowsXP核心的迷你操作系统,是安装在光盘上的并且只能从光盘引导的简化版Windows XP
ChamPagneZ 2008-07-22
- 打赏
- 举报
[Quote=引用 1 楼 KernelDbg 的回复:]
1. 写个驱动程序,直接访问物理地址,不是逻辑地址。(好像不写驱动也行,可以打开“物理内存”这个设备。这种
方法我不确定,只是听说过有这个设备)
2. Portable Executable的缩写,WINDOWS系统的可执行镜像的格式(.exe, .dll)。微软现在有非常详细的文档,去官方网站上找。
[/Quote]
搬凳子来旁听.
1. 写个驱动程序,直接访问物理地址,不是逻辑地址。(好像不写驱动也行,可以打开“物理内存”这个设备。这种
方法我不确定,只是听说过有这个设备)
2. Portable Executable的缩写,WINDOWS系统的可执行镜像的格式(.exe, .dll)。微软现在有非常详细的文档,去官方网站上找。
[/Quote]
搬凳子来旁听.
KernelDbg 2008-07-22
- 打赏
- 举报
1. 写个驱动程序,直接访问物理地址,不是逻辑地址。(好像不写驱动也行,可以打开“物理内存”这个设备。这种
方法我不确定,只是听说过有这个设备)
2. Portable Executable的缩写,WINDOWS系统的可执行镜像的格式(.exe, .dll)。微软现在有非常详细的文档,去官方网站上找。
方法我不确定,只是听说过有这个设备)
2. Portable Executable的缩写,WINDOWS系统的可执行镜像的格式(.exe, .dll)。微软现在有非常详细的文档,去官方网站上找。
shanqingshuilan 2008-07-22
- 打赏
- 举报
关注中···
