4

我想在磁盘上转储一个进程映像,然后执行它

  • 我列出了流程模块
  • 我使用 readprocessmemory 读取 exe 的内存范围

但是当我尝试执行它时失败了。我该如何解决这个问题?

谢谢

4

1 回答 1

4

你不能。

当您将 PE 加载到内存中时(我假设您正在使用 ImageHlp.pas 中的 MapAndLoad),它会将模块加载到内存中并加载数据,但它不会像标准 Windows 那样通过并重新对齐所有指针装载机可以。

应用程序中的指针都是相对地址,实际上并不指向它们应该指向的内容。

如果您对 RVA 和映射如何工作有足够的了解,您可以分析代码,但实际上无法执行它。

于 2010-10-17T19:20:14.783 回答