我想编写一个进程扫描程序来检测恶意代码,我需要扫描内存中加载的 PE 可执行文件的每个部分。我一直想知道如何做到这一点,在我看来,有两种可行的解决方案:
- 读进程内存
优点:易于使用缺点:必须读取和复制内存到缓冲区,由于缓冲区有限,无法读取整个进程内存,搜索也很困难,因为一次复制到缓冲区的内存“窗口”很小
- 将 DLL 注入进程的内存
优点:能够直接访问进程内存,无需复制
我的问题是:是否有另一种方法来完成对另一个进程的内存的完整内存扫描(假设我有这样做的特权)?如果不是:如果我需要一次读取一个小“窗口”,我应该如何处理扫描整个内存的需要?