理论基础
在病毒查杀,应用安全对抗,静态逆向应用,动态逆向应用,最重要的对象就是,应用程序的内存数据。
病毒查杀对抗:需要获取查杀对象的内存数据进行和病毒库的特征做比对。
应用安全对抗:需要保护自身的内存数据不被转存。
静态逆向应用:遇到应用程序加密保护,那这用IDA就歇菜了,这时获取解密后内存数据就非常重要。
动态逆向应用:用ollydbg进行动态调试应用主要还是调试运行时释放的内存数据。
综上:应用程序的重重之中就是内存数据,我们就来用代码实现获取应用程序的 “制空权”。
效果展示
下面展示的是,读取并操作,正在运行的ClearData进程的内存数据。
图片第一部分是正确读取到的内存数据,并写入到新创建的文件里面,文件大小和进程的原始文件是一致的。
图片第二部分是工作窗口,展示的是读取操作的一些信息。
图片第三部分展示,正在运行的进程信息。
