在 Windows 中抓取系统内存以查找与正则表达式匹配的字符串

Question

关于从哪里开始有什么想法吗？

Answer 1

如果您要扫描的进程当前正在运行，那么您可以将其作为调试器连接并抓取其地址空间。

如果您想一般地刮擦内存，则需要安装驱动程序或类似的东西，以便摆脱用户空间。

Answer 2

SoftICE (wiki) 可能仍然是 Windows 上最好的调试器。它具有您正在寻找的低级功能，并且可以暂停 Windows 中的所有操作，这对于查看内存变化非常有用。虽然它已经停产，并且现在有很多反 SoftICE 措施（主要是为了保护商业软件），但也有一些隐秘的选项可以使用：IceStealth 或 IceExt。你真的必须自己找出这些软件的源代码，这可能需要一些工作。或者还有其他调试器： Sysersoft 声称已经接手了 SoftICE 停止的地方（尽管我还没有玩过）与它），以及一个开源替代品，Rasta Ring 0 Debugger，此后一直没有开发2006年。

Answer 3

这是一个非常有趣的概念，尽管它听起来确实很险恶，是一个 root-kit...对于初学者来说，您需要将程序权限提升到管理员权限，并以某种方式开发某种驱动程序（可能是块模式驱动程序）并从用户态对驱动程序进行轮询调用以传递数据块（因此称为块模式驱动程序）。将块的长度作为参数传递给驱动程序（我想），然后用户态代码将检索数据并扫描数据块。

问题在于，由于驱动程序必须驻留在ring0内核模式才能获取内存块，因此您最终会生成 BSOD 和大量调试问题。根据我的喜好，这听起来有点受虐狂的感觉，但话又说回来，您可以使用 VirtualBox 并将 Windows 安装到虚拟机中。

您需要四处寻找 Windows 内核模式驱动程序 SDK，它将使您能够编写驱动程序。除此之外，我不知道如何！ :)

这是我要坚持的我最喜欢的问题。

祝你好运，希望这有帮助，
此致，
汤姆.