Добрый день! Стоит задача восстановления изображения окна (скриншота экрана) из дампа оперативной памяти (не используя драйвер-фильтр). Если используется драйвер стандартного видеоадаптера BasicDisplay.sys, то у него изображение экрана хранится линейно в одном из диапазонов памяти bar0/bar1 (адреса получаю из конфигурационного пространство PCI) и его довольно просто восстановить. Но если используются драйвера Intel или Nvidia, то распределение уже перестает быть линейным. Сейчас пробую искать структуры SURFOBJ из нее брать поле pvScan0-адрес на начало буфера поверхности. Но сложно подобрать корректную сигнатуру для поиска плюс придется делать преобразование виртуальных адресов к физическим. Какие еще есть варианты для дальнейшего иследования, желательно независимые от драйвера видеоподсистемы? Спасибо.
В памяти ядра изображение интернал андок формата. Изучайте его, реверсите ядро. Тем более что у каждого видеодрова свои форматы и буфера. Так что это бессмысленный вопрос. Да и зачем такое нужно ?
