检测
ntoskrnl.exe基址在这堆内存中查找所有已加载的模块
,最后分析检测到的模块以获得导出的名称和诸如此类的东西
我能够使用此脚本解决第一部分。可以分析加载的模块本身,因为PE标头中已经包含了所有需要的信息(我认为)。
编辑:我能够使用以下命令为每个检测到的段设置模块:
from idaapi import module_info_t
current_module = module_info_t()
current_module.base = 0xFFFF...
current_module.size = 1234
current_module.name = "ntoskrnl.exe"
idaapi.add_virt_module(current_module)
但是如果我激活“分析模块”,则什么也没发生。
是否有可能内存中的PE标头不完整?
评论
ou可以获取该区域的内存转储并检查标头是否格式错误吗?