LyShark

摘要： 关于Dump内存原理，我们可以使用调试API启动调试事件，然后再程序的OEP位置写入CC断点让其暂停在OEP位置，此时程序已经在内存解码，同时也可以获取到程序的OEP位置，转储就是将程序原封不动的读取出来并放入临时空间中，然后对空间中的节表和OEP以及内存对齐进行修正，最后将此文件在内存保存出来即可。 阅读全文