这个是主程序,它的模块信息: 名称 基址 大小 入口点 f:\embed\etools\Debug\bin\bash.exe 00400000 0006f000 0045bb30 对应的内存块: 这些块的类型都是MEM_IMAGE,且分配时的保护标志都是PAGE_EXECUTE_WRITECOPY,MSDN这样解释这 个标志位: Enables execute, read, and write access to the committed region of image file code p
在去除前面的那些东西之后,我们的内存块里面还有一堆MEM_MAPPED的内容,就像这样的块: MSDN里面这样解释MEM_MAPPED这种类型: Indicates that the memory pages within the region are mapped into the view of a section. 很自然地我们想用GetMappedFileName来看看映射到这些 内存区域的文件名,于是发现了下面几个块的确是做了文件映射: 那么其它东西是哪里来的? 使用GetLastEr