我们知道,当dll加载到内存之后,不管其原先是否加壳,其二进制代码都是完全解密的,某些时候,dll是需要授权的,嘿嘿嘿。
内存dump可以将其二进制数据全部dump出来,这样,我们就可以使用该dll中的接口了,但是由于全局变量和虚表之类的东西,所以该方法会很麻烦,自己需要处理的东西很多。
今天听到别人说起使用休眠文件加上模拟器的方式来实时的dump文件,下面介绍休眠文件
hiberfil.sys是一种文件形式。在一些较新的具有STR功能的主板上安装了xp及更新的操作系统后,在系统区根目录下会出现hiberfil.sys的文件,它的大小和内存容量一样。
也就是说休眠文件中包含了瞬时的内存数据,那么dll也在其中,那么我们是否可以通过解析该文件来知道目标dll呢,听到别人说能实现,暂时记录在这里,以后有需求再寻求答案。