如何把WINDOWS系统中的进程dump成可执行文件?
xmlv 2004-11-23 08:48:26 1、打开某个进程的内存空间,读出它那块内存中的内容(可以实现)
2、已知PE文件头信息,得到代码段、数据段、资源段、引入、引出表等的偏移量和大小等信息
并根据相关信息对内存数据进行还原。(这个可以)
进程的内存空间中可能有动态分配的数据,怎么区别?该进程可能含有多个线程,如何处理?
3、PE文件被装载器映射入内存时,PE头也被加载吗?加载在那里?
如果不被加载入进程的内存空间而是仅供PE装载器参考,那这个问题可能实现吗?
如果以上问题可能实现,真正DUMP出来的东西可能很大(估计它动态加载的东西应该也必须被包含)
PE头应该也要重新写。另外如果想从非本地计算机上使用是否必须让远程计算机运行一个“客户端”
将的到的结果发送到指定“服务器端”?