进程内部/外部生成的不同内存转储

Question

我最近一直在玩内存转储，偶然发现了一些我不完全理解的东西。

如果我有一个进程并使用 VirtualQueryEx & 转储其内存内容ReadProcessMemory 来抓取数据并将其转储到文件中，一切正常。同时，我尝试通过在进程内部执行 VirtualQuery 并仅转储它返回的指针的内容来执行相同的操作。 我能够通过代理我正在测试的进程的 DLL 之一来做到这一点。 现在，问题是这两个内存转储不同（从进程内部创建的转储中缺少区域） 有人可以告诉我为什么会发生这种情况吗？ Windows XP SP3 + Visual Studio 2008 非常感谢。

Answer 1

你需要倾倒什么？谈到进程分配的所有内存页面，我认为您可以获得不同的值，因为内部进程状态（通常）每次都是唯一的。另外，如果您将进程的内存转储到进程外部，则转储程序的代码不在转储进程地址空间中，而如果您从进程内部转储进程，则该进程现在包含转储程序的代码。因此，仅转储属于进程应用程序或 DLL 的特定数量的页面可能会很有用。