我正在编写一个使用 Windows API 来学习进程注入的 Python 脚本。
注入成功。我可以验证 shellcode 是否正在运行,并且 Process Explorer 显示了连接:
问题是,当我使用 VMMap 查找注入的内存区域时,我无法找到它。我的程序的输出指示分配的内存区域的虚拟地址是什么。在示例中,输出为:
Remote memory address: 0x57c0000
当我在 VMMap 中打开该进程时,单击“总计”,然后按地址对底部面板进行排序,
它莫名其妙地消失了。假设程序报告的地址是正确的(它直接来自 Windows API,所以应该是正确的),那么它消失的原因是什么?
答案1
事实证明,我忘记以管理员身份运行 VMMap,导致遗漏了一些区域。如果我以提升的权限重新打开它,我就能找到它:
因此,如果您无法找到内存区域,请确保您拥有适当的权限。