我认为一个进程无法读取其他进程的内存。但是我很震惊地看到一个名为“WinHex”的应用程序具有“RAM 编辑器”并且能够访问整个内存。 所有进程。
这怎么可能?它甚至可以修改其他进程的内存。这不是恶意的吗?
【问题讨论】:
标签: security winapi memory virtual-memory protected-mode
该工具很可能使用ReadProcessMemory 或某些变体,这需要 PROCESS_VM_READ 访问权限。
关于您的“恶意”评论,请记住您(或调用此 API 的进程,可能需要管理员级别的权限)已经完全控制了机器。安全游戏在这一点上已经失败了。
【讨论】:
嗯,这是由操作系统授予的具有正确权限的进程可以做的事情之一。进程原则上不能访问其他进程的内存。在实践中,底层操作系统通常会为特权进程提供这种机制。
【讨论】:
访问其他进程的内存是小菜一碟。
您甚至可以使用Windows Driver Kit 访问和修改所有内容。
查看rootkits 示例,了解不限制程序权限时操作系统的脆弱性。
【讨论】:
ReadProcessMemory or some variant, which requires PROCESS_VM_READ access.1。这会在 Windows Driver Kit 下吗? 2. 这些程序会在内核模式下运行以访问整个内存吗?
如果您以管理员身份运行,您可以获得读取所有内存的权限;看来 WinHex 正在代表您执行此操作。
您是否在更受限制的帐户上尝试过此操作?
【讨论】:
我认为它使用了一些 DLL 注入技术。
【讨论】: