[求助]EXE 导入一个加密过的文件然后解密后在内存运行如何把这个内存中的代码保存下来?-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
chence 雪币： 1327 活跃值： (385) 能力值： ( LV11，RANK：190 ) 在线值：发帖 13 回帖 73 粉丝 2 关注私信	chence 4 2 楼可以用pchunter 查看该进程的内存，找到那个DLL所在的内存段，一般如果是无模块的话，内存属性为可读可写可执行，把整个段都DUMP下来就可以了。 2017-1-10 19:22 0
ffashi 雪币： 772 活跃值： (1002) 能力值： ( LV2，RANK：10 ) 在线值：发帖 75 回帖 253 粉丝 9 关注私信	ffashi 3 楼同上，找的方法无非就是找DLL头 2017-1-16 21:36 0
DoItFreely 雪币： 353 活跃值： (57) 能力值： ( LV9，RANK：140 ) 在线值：发帖 7 回帖 34 粉丝 0 关注私信	DoItFreely 3 4 楼方法1：winhex打开内存->找到进程->找到模块名称，打开，另存为，或者打开整个内存，自己找PE文件头。方法2：IDA->debugger->attach->local windows debugger->找到进程，打开，另存为。 2017-1-16 23:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
chence 雪币： 1327 活跃值： (385) 能力值： ( LV11，RANK：190 ) 在线值：发帖 13 回帖 73 粉丝 2 关注私信	chence 4 2 楼可以用pchunter 查看该进程的内存，找到那个DLL所在的内存段，一般如果是无模块的话，内存属性为可读可写可执行，把整个段都DUMP下来就可以了。 2017-1-10 19:22 0
ffashi 雪币： 772 活跃值： (1002) 能力值： ( LV2，RANK：10 ) 在线值：发帖 75 回帖 253 粉丝 9 关注私信	ffashi 3 楼同上，找的方法无非就是找DLL头 2017-1-16 21:36 0
DoItFreely 雪币： 353 活跃值： (57) 能力值： ( LV9，RANK：140 ) 在线值：发帖 7 回帖 34 粉丝 0 关注私信	DoItFreely 3 4 楼方法1：winhex打开内存->找到进程->找到模块名称，打开，另存为，或者打开整个内存，自己找PE文件头。方法2：IDA->debugger->attach->local windows debugger->找到进程，打开，另存为。 2017-1-16 23:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复