GD
ПОлезное ^_^
>only korean chars
их было настолько много?)
Size: a a a
2017 December 04
k
думаю, не больше сотни
k
늙가뵜촴요嘧
댜밴쓈뗼겠쥉뱴앴▒6
돩쳵띤씰읜이낔첔꘤
날싯젽
띔렐늴슔를쌜뵴쟠낐땤잴▒I▒믃살슌만댴내쉘
닙담랴읠쌴벋볅됬똤
D
s0i37
Всем привет. Кто хорошо знает DBI фреймворк PIN, подскажите пож. можно ли как то получить диапазоны всех страниц памяти процесса?
Такой API я не помню, но наверное по косвенным признакам можно - смотреть по каким адреса грузятся image
s
интересует куча
s
причем если я подключусь отладчиком к процессу если тот в режиме pin -appdebug то я увижу регионы памяти... Но вызывать windbg из pin это как то громоздко
s
и мне кажется там ещё могут быть адреса pinvm
MV
s0i37
Всем привет. Кто хорошо знает DBI фреймворк PIN, подскажите пож. можно ли как то получить диапазоны всех страниц памяти процесса?
а кто такое диапазоны всех страниц памяти?
s
вся доступная память грубо говоря
MV
вся доступная user-mode память это на amd64, грубо говоря, в зависимости от ОС 64*4096 - 2**48
MV
или ты имеешь в виду всю COMMITED и RESERVED память?
s
та которая выделена процессу
s
или ты имеешь в виду всю COMMITED и RESERVED память?
полагаю да
MV
s0i37
интересует куча
если тебя интересуют все выделенные в куче страницы памяти, то тут только инструментировать функции-аллокаторы нужно
MV
потому что в большинстве аллокаторов внутри хранятся только списки уже освобождённых участков памяти и, грубо говоря, на уровне user-mode о выделенных участках памяти знает только сам процесс, которых их выделил
K
s0i37
полагаю да
мб тогда проще использовать валгринд?
MV
с другой стороны если тебе нужен только диапозон кучи то, например, на windows можно поступить примерно следующим образом: получить список хэнлов всех куч через GetProcessHeaps (в этом случае хэндл - это адрес кучи в адресном пространстве процесса), потом пропарсить структуру _HEAP, найдя там размер и ты получить верхнюю и нижнюю границы
s
Вообще я хотел бы получить все границы доступной памяти так как это видно например в immunitydbg... Включая кучу и модули. И сделать это нужно в момент аттача к процессу. Так что перехват malloc/free не годится)
s
с другой стороны если тебе нужен только диапозон кучи то, например, на windows можно поступить примерно следующим образом: получить список хэнлов всех куч через GetProcessHeaps (в этом случае хэндл - это адрес кучи в адресном пространстве процесса), потом пропарсить структуру _HEAP, найдя там размер и ты получить верхнюю и нижнюю границы
Я хотел так сделать. Но я боюсь получить память pinvm