3
關於從哪裏開始的任何想法?在Windows中匹配正則表達式的字符串刮擦系統內存
A
回答
1
如果您想要掃描的進程當前正在運行,那麼您可以將其作爲調試器連接並刪除其地址空間。
如果你想刮一般的內存,你需要安裝一個驅動程序或類似的東西,以擺脫用戶空間。
1
SoftICE(wiki)仍然可能是Windows中最好的調試器。它具有您正在查找的低級別功能,並且可以暫停Windows中的所有操作,這對查看內存更改非常有用。雖然它已經停止使用,並且近來有很多反SoftICE措施(主要是爲了保護商業軟件),但也有一些隱藏的選項可供使用:IceStealth或IceExt。你真的不得不爲這些軟件自己編寫源代碼,可能是一些工作。另外還有其他的調試器:Sysersoft聲稱已經佔據了SoftICE離開的地方(儘管我還沒有玩過它),還有一個開源替代品,Rasta Ring 0 Debugger,自2006年以來還沒有看到發展。
1
這是一個非常有趣的概念,儘管它聽起來很險惡,一個rootkit ......對於初學者來說,你需要將你的程序權限提升到管理員權限,並以某種方式開發某種驅動程序(可能是塊模式驅動程序),並從user-land,向驅動程序發出輪詢呼叫以傳出一個數據塊(因此爲塊模式驅動程序)。傳遞給驅動程序的塊的長度(我想象)作爲參數,然後用戶代碼將檢索數據並掃描數據塊。
問題在於,由於驅動程序必須駐留在ring0內核模式才能獲取內存塊,因此最終會產生BSOD和大量的調試問題。聽起來像受虐狂的方式,但你可以再次使用VirtualBox並將Windows安裝到虛擬機中。
你需要根植於尋找Windows內核模式驅動程序SDK,這將使您能夠編寫驅動程序。除此之外,我不知道如何! :)
這是我要堅持我最喜歡的問題。
祝你好運,希望這有助於, 最好的問候, 湯姆。
相關問題
- 1. 正則表達式正則表達式匹配字符串
- 2. 正則表達式匹配字符串
- 3. 正則表達式匹配字符串
- 4. 正則表達式匹配字符串
- 5. 正則表達式匹配字符串
- 6. 正則表達式匹配字符串
- 7. 正則表達式匹配字符串
- 8. 正則表達式匹配字符串
- 9. 正則表達式匹配字符串
- 10. 正則表達式字符串匹配?
- 11. 正則表達式則表達式匹配的字符串
- 12. 匹配匹配字符串的正則表達式的子串
- 13. 重複字符匹配正則表達式匹配字符串
- 14. 在正則表達式中匹配字符串字符
- 15. 正則表達式匹配字符串,如果它存在
- 16. 匹配正則表達式字符類中的字符串?
- 17. 正則表達式匹配字符串中的單個字符
- 18. 正則表達式匹配字符串中的EOL字符
- 19. 正則表達式匹配字符串中的連字符
- 20. Perl正則表達式正則表達式匹配字符串除外,不匹配字符串
- 21. 正則表達式文件刮擦
- 22. 蟒蛇正則表達式 - 字符串匹配的匹配尾
- 23. 正則表達式:不匹配字符串的匹配順序
- 24. 修改替換字符串內的正則表達式匹配
- 25. C#正則表達式,匹配字符串的內容
- 26. 正則表達式匹配的內容,直到多字符串
- 27. 正則表達式來匹配一個url內的字符串
- 28. 正則表達式只匹配字符串中存在的選定字符
- 29. 正則表達式匹配字符串或字符串
- 30. 從字符串中剝離正則表達式字符匹配
你需要什麼?這聽起來對我很可疑。 – 2009-12-13 22:18:49
這的確聽起來險些險惡。我個人認爲這是一個很酷的練習!我將會關注這個主題。 – 2009-12-13 22:22:58