[求助]用 VirtualQueryEx 查询到某块内存后，如果如何知道该块内存用途-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]用 VirtualQueryEx 查询到某块内存后，如果如何知道该块内存用途

发表于: 2008-5-12 17:27 4852

[求助]用 VirtualQueryEx 查询到某块内存后，如果如何知道该块内存用途

richardzy

2008-5-12 17:27

4852

用 VirtualQueryEx 查询到某块内存后，如果该块内存的类型为内存映射即MEM_MAPPED，那么用什么方法可以知道该块内存映射为哪一个文件？
下列函数只能查询进程中已经被分配的内存，但这些内存块各自用于和什么用途如何才能知道呢？

BOOL ShowProcMemInfo(DWORD dwPID)
{ HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION,false,dwPID);
if(hProcess == NULL)    return FALSE;
MEMORY_BASIC_INFORMATION mbi;
char *pAddress = NULL;
char szInfo[2000];

while(1)
      {
      if(VirtualQueryEx(hProcess,pAddress,&mbi,sizeof(mbi))!= sizeof(mbi)) break;
      if(mbi.State==MEM_COMMIT)
         {
         sprintf(szInfo, "%08X  %08X  ",mbi.BaseAddress,mbi.RegionSize);
         char *pStr;
         switch(mbi.Type)
            {
            case MEM_IMAGE:
                  pStr = "MEM_IMAGE "; break;
            case MEM_MAPPED: pStr = "MEM_MAPPED "; break;
            case MEM_PRIVATE: pStr = "MEM_PRIVATE  "; break;
            default:          pStr = "-----------  "; break;
            }
         strcat(szInfo,pStr);
         switch(mbi.AllocationProtect)
            {
            case PAGE_READONLY:       pStr ="PAGE_READONLY       "; break;
            case PAGE_READWRITE:       pStr ="PAGE_READWRITE       "; break;
            case PAGE_WRITECOPY:       pStr ="PAGE_WRITECOPY       "; break;
            case PAGE_EXECUTE:       pStr ="PAGE_EXECUTE       "; break;
            case PAGE_EXECUTE_READ:    pStr ="PAGE_EXECUTE_READ    "; break;
            case PAGE_EXECUTE_READWRITE:pStr ="PAGE_EXECUTE_READWRITE"; break;
            case PAGE_EXECUTE_WRITECOPY:pStr ="PAGE_EXECUTE_WRITECOPY"; break;
            case PAGE_GUARD:          pStr ="PAGE_GUARD          "; break;
            case PAGE_NOACCESS:       pStr ="PAGE_NOACCESS       "; break;
            case PAGE_NOCACHE:       pStr ="PAGE_NOCACHE       "; break;
            default:                   pStr ="----------------------"; break;
            }
         strcat(szInfo, pStr);
         Form1->Memo1->Lines->Add(szInfo);
         }
      pAddress = ((PBYTE)mbi.BaseAddress + mbi.RegionSize);
      }
CloseHandle(hProcess);

return TRUE;
}

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

收藏・1

免费・0

支持

最新回复 (1)
combojiang 雪币： 321 活跃值： (275) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 60 关注私信	combojiang 26 2 楼这个恐怕要在内核中才能得到。VirtualQueryEx调用到内核的NtQueryVirtualMemory。基本流程是: eprocess -- VadRoot -- ControlArea -- FilePointer ---FileName 2008-5-13 13:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

richardzy

发帖

回帖

RANK

关注

私信

他的文章

[求助]用 VirtualQueryEx 查询到某块内存后，如果如何知道该块内存用途 4853

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
combojiang 雪币： 321 活跃值： (275) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 60 关注私信	combojiang 26 2 楼这个恐怕要在内核中才能得到。VirtualQueryEx调用到内核的NtQueryVirtualMemory。基本流程是: eprocess -- VadRoot -- ControlArea -- FilePointer ---FileName 2008-5-13 13:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复