一个简单dump工具的实现.pdfVIP

A M M IN B A N A LYS E s0cket ) 前置知识 VC 关键讯 编程、DumpT具 一 个简单dump工具的实现 文／ 李霞 Dump是从内存中抓取～块数据保存在硬盘 除了用这个结构体 以外 ，我们还可以使用 中。在脱壳时到达0EP后就要进行DumP。自己 其他的 比如下面的结构体： 写一个dumP工具很简单 ，通过本文我们将自己 实现一个控制台版的dumP工具。 DumP是从内存抓取数据到硬盘 的．因此我 们需要进程的lD和这个进程 中的虚拟地址 ，这 样才可以从 内存 中读 出数据写入到硬盘 当中。 既然是控制 台版的 ．我们就需要为程序提供两 在LordPe中使用的就是这个结构体 。我们看 个参数 ，第一个是进程lD，第二个是dumP起始 一 下0D里的代码 处的虚拟地址。有了dumP的起始处的虚拟地 FFl5 F0240020 CALL DW ORD 址 ，还缺少一个dumP的长度 ，这个长度也可以 PTRDS：l200024F0l 通过参数指定，指定我们要dumP多大的一块内 ：psapi．Enuml~oces$IvloduLes 2ooOl84B 85C0 TEST EAX，EAX 存数据到磁盘上。由于我们这里的dumP是用在 20ool84D 75OC JNZ SHORT Drocs． 脱壳上的 所 以dumP的长度可以不用指定 ，只 2000185B 要获得模块 的映像大小就可 以了。获得模块映 2O00l84F 56 PUSItESI 像大小可 以通过下面的结构体得到： 2o00l850 FF15O8lO0o2O CALL DWORD PTR DS：[KERNEL32CloseHandl tyl~defstructtagM0DULEENTRY32 { ： kerneL32．CloseHand~e DWORD dwSize； 2O0ol856 E96FFFFFFF JMP procs．20o0l7CA DWORD th32ModuleID： 2ooOl85B 6A OC PUSH OC DW0RD th32ProcessID： 20ooI85D 8D958CFCFFFF LEA EDX，DW ORD DWORD GlbtcntUsage； PTR SS：IEBP 374I DWO