如何转储在浏览器中运行的插件的内存。例如,我想分析在chrome中运行的acrobat reader的内存。
提前致谢。
答案 0 :(得分:2)
一般情况下,在最常见的浏览器中,插件是加载到浏览器进程中的动态库。因此,您需要使用调试器附加到该进程,然后转到插件模块。
对于chrome和pdf阅读器: Chrome几乎可以为所有内容生成新流程,因此首先需要在浏览器中加载任何pdf,以便加载插件。然后,您可以通过chrome中的集成任务管理器找到该选项卡的匹配PID。当您使用调试器附加到此过程时,您应该看到模块“pdf”,它是位于chrome安装目录中的dll,我相信它是acrobat reader的修改版本。
答案 1 :(得分:2)
取决于您对内存转储的意义,以及您正在寻找的内容。有Memoryze之类的工具可以转储正在运行的进程的内存。我已经在法医上使用了它,但我从来没有试过把这个转储扔进IDA。
您还可以附加调试器并以此方式获取内存。这完全取决于你想要分析/逆转的内容。