ДАМП

Вопрос прост! Произвожу изменения в запущенном процессе и нужно увидеть результат собственного творения...для этого как мне кажется нужно сохранить дампы памяти до и после и сравнить их ... И естественно хочу узнать как это проще всего сделать ???

P.S. Я таким впервые занимаюсь, поэтому буду признателен, если приведут какую-нибудь статью для ознакомления на тему...

 

debugging tools: .attach pid; .writemem filename range

 

сдампить с чего угодно, PETools например или податтачится отладчиком и посмотреть нужную область памяти.

в случае когда сдампил в файл, открываешь например FlexHEX, и там Compare для сравнения с другим.

 

deLight
мне нужно получить дизасемблированный код для анализа .. =)

censored
ничё не понял ... попробую погуглить, НО! СПАСИБО!

 

сохранить дампы памяти до и после и сравнить их
точно. на каком-то наречии племен Тольтеков это означает "получить дизасм код для анализа".. извини, просто давно не был в Мексике. Как там наш Дон Хуан?

дизасмить дамп можно например в hiew.
в конечном итоге что тебе мешает податтачится отладчиком и сразу посмотреть все что ты там натворил?

 

=( не разобрался =(

MemViewer сохраняет в *.exe, сравнивал их в FlexHEX - они идентичные =(
Может быть, конечно, дело в том что прога моя не делает никаких изменений в процессе, но вряд ли ...

Вообщем попробую полностью раскрыть проблему ...

Есть запущенный процесс...написал прогу по добавлению в этот процесс определнного кода и последующего его выполнения ... всё работает, в смысле код выполняется (результат виден)...мне теперь нужно обнаружить "inject", ну или обнаружить сам факт инжекта ... т.е. нужно показать, что процесс в памяти изменился (не переменные в нём изменились, а код заметно усложнился ...) вот ...

есть ли какая-нить статья, которая поможет мне в этом разобраться ...

 

WinHex ну или как censored написал.

 

податтачился с помощью IDA

запустил свою прогу, которая добавила вот такой вот код:

Код (Text):

1.     __asm
2. {
3. Lab00:
4. mov [ecx],edi
5. add ecx,4
6. dec edx
7. jnz Lab00
8.  
9. Lab02:
10. mov edi,[eax]
11. sub edi,[ebx]
12. add eax,4
13. add ebx,4
14. mov [ecx],edi
15. add ecx,4
16. dec edx
17. jnz Lab02
18.  
19. mov edi,[eax]
20. sub edi,[ebx]
21. Lab04:
22. mov [ecx],edi
23. add ecx,4
24. dec edx
25. jnz Lab04
26. }

по нужному адресу появился код, но абсолютно не похожий на данный сегмент ... я вообще не обнаружил в том сегменте каких либо операторов ... почему всё приложение дизасемблируется как надо, а мой сегмент, написанный на асме получился полным бредом ?