Карта памяти процесса

[MichaelBorisov]

Монументальный труд! Огромное спасибо!!!

[Rouse]

Спасибо :)
Подготовка к данной статье и работа над ней была самой продолжительной (если не считать цикл статей про отладчик)…

[Hint]

Большое спасибо за вашу работу! И за статьи, и за ответы на форуме, и за классы и компоненты на вашем сайте!
P. S. Пару лет назад вносил небольшие правки в FWSysTrayInfo :)

[Rouse]

Всегда пожалуйста :)

[HonoraryBoT]

Хорош! Все в одном!

[HonoraryBoT]

И только сейчас заметил кто автор статьи! Двойной респект. Когда кодил на дельфи, только ваши статьи и читал. Спасибо за счастливое детство!

[Rouse]

Спасибо за счастливое детство!

Класс :))))
Незачто :)

[dzhidzhoev]

Хабр тот!

[Rouse]

Кстати, чуть не забыл.
Утилита Process Memory Map (собственно как и VMMap от Марка Руссиновича) детектируется антивирусом DrWeb 9.0 как «DPH:Trojan.Inject.3».
Что не может не удивлять, ибо открытие памяти удаленного процесса на запись не производится.
Предыдущие версии DrWeb такой реакции не проявляют.

[Rouse]

ЗЫ: Видимо ошибка эвристика, на что намекает сигнатура DPH (Dr.Web Process Heuristic)

[morgot]

Спасибо, очень хорошая статья. Единственное

32-битный процесс НЕ МОЖЕТ получить данные по 64-битному.

А как же heaven's gate? Или не рассматривается, ибо андок?

[Rouse]

Эмм «heaven's gate» это же межсегментный прыжок из 32 битного Wow в нативное 64 битное окружение. Для чтения из памяти других процессов придется дропера писать — это уже на вирус будет похоже :)

[morgot]

Посмотрите эту библиотеку github.com/rwfpl/rewolf-wow64ext

[Rouse]

Угу, видел, но все же использование 64 битного и 32 битного процесса мне кажется более разумным. Впрочем так считает и Руссинович в своем Process Explorer :)

[morgot]

Согласен, так правильнее; heavens gate это все же, в некотором роде, «хак», и непрост в отладке (только Windbg умеет корректно переходить на 64 бита).
Хотя Руссинович и сам любитель такого, ну по крайней мере раньше был).

[Rouse]

Сейчас очень мало программистов стало, которым нужно