第4讲虚拟内存应用-例子讲述.pptx

如何获取Password？ 苏曙光.软件学院.华中科技大学 1 苏曙光.软件学院.华中科技大学 2 Windows进程虚拟内存空间 进程虚拟内存空间(32位) 空间大小为4GB（232） 用户区：2GB 页交换区，可对换到外存 系统区（2GB） 在核心态可访问的存储区 页面大小为4KB（212） 苏曙光.软件学院.华中科技大学 3 进程空间的分区 用户区内的空闲区(free, unallocated) 苏曙光.软件学院.华中科技大学 4 和虚拟内存操作相关的函数 获取OS系统信息[页面大小，分配粒度] GetSystemInfo( ) 分配和释放虚拟内存 VirtualAlloc( )和VirtualFree( ) 获取内存状态【虚拟内存】 GlobalMemoryStatus( ) 确定虚拟地址空间的状态 VirtualQuery( )或VirtualQueryEx( ) 改变页面的保护属性 VirtualProtect( )和VirtualProtectEx( ) 虚拟内存的读写 ReadProcessMemory( ) 和WriteProcessMemory( ) 苏曙光.软件学院.华中科技大学 5 在应用程序中分配虚拟内存 LPVOID VirtualAlloc( LPVOID lpAddress, DWORD dwSize, DWORD flAllocationType, DWORD flProtect ); 苏曙光.软件学院.华中科技大学 6 在应用程序中释放虚拟内存 BOOL VirtualFree( LPVOID lpAddress, DWORD dwSize, DWORD dwFreeType ); 苏曙光.软件学院.华中科技大学 7 改变页面的保护属性 BOOL VirtualProtect( PVOID pvAddress, DWORD dwSize, DWORD flNewProtect, PDWORD pflOldProtect ); BOOL VirtualProtectEx( HANDLE hProcess, PVOID pvAddress, DWORD dwSize, DWORD flNewProtect, PDWORD pflOldProtect ); 苏曙光.软件学院.华中科技大学 8 虚拟内存的读 BOOL ReadProcessMemory( ??? HANDLE hProcess, ??? LPCVOID lpBaseAddress, ??? LPVOID lpBuffer, ??? DWORD nSize,? ??? LPDWORD lpNumberOfBytesRead ??? ); 苏曙光.软件学院.华中科技大学 9 虚拟内存的写 BOOL WriteProcessMemory( ??? HANDLE hProcess, ??? LPVOID lpBaseAddress, ??? LPVOID lpBuffer, ??? DWORD nSize, ??? LPDWORD lpNumberOfBytesWritten ??? ); 如何获取Password？ 苏曙光.软件学院.华中科技大学 10 要“读取”某个控件的内容（例如编辑框）通常都是向其发送 WM_GETTEXT消息。 如果该编辑框属于远程进程（并具有 ES_PASSWORD式样，上面方法失效。 ?问题：如何在远程进程的地址空间执行 SendMessage( hPwdEdit, WM_GETTEXT, nMaxChars, psBuffer ); 苏曙光.软件学院.华中科技大学 11 通常有三种方法来解决这个问题 1.将用户代码放入某个 DLL，然后通过 Windows 钩子映射该DLL到远程进程； 2.将用户代码放入某个 DLL，通过 CreateRemoteThread 和 LoadLibrary 技术映射该DLL到远程进程； 3.如果不写单独的 DLL，可将用户代码拷贝到远程进程（通过 WriteProcessMemory）并用 CreateRemoteThread 启动它的执行。 苏曙光.软件学院.华中科技大学 12 方法二： 方法二：将用户代码放入 DLL，通过 CreateRemoteThread 和 LoadLibrary 技术映射该DLL到远程进程； 进程通过 LoadLibrary API 动态加载DLL。 问题：如何强制一个远程进程调用这个函数呢？ 答案：CreateRemoteThread创建远程线程