Hi
Soweit ich die sourcen auseinander gepfriemelt habe durchsuchst du in einem prozess alle module bzw. deren codesection nach einem "command".
Ich denke ich kann mir schon irgendwie zusammenbastelnd die sections eines programms bzw. einer .dll zu durchsuchen aber warum durchsuchst du nur die readable sections?
Delphi-Quellcode:
if (Section.Size >= NameSize) and Section.IsReadable and
not Section.IsWriteable and not Section.IsExecutable then
bzw. war auch die eigentliche Frage welche sections muss ich durchsuchen um nur die code section eines programms zu durchsuchen.
Also wie finde ich code section bzw. data section oder den heap - wie unterscheide ich das.
Die frage mag etwas seltsam anmuten, aber ich bring hier theorie und praxis nicht unter einen Hut.
Vielleicht war das oben auch schon die Antwort auf die Frage - dh. reine code sections sind einfach nur readable und nicht writeable.
aber warum dann nicht executeable??
lg
Arnulf
edit:
eine Theorie hab ich noch.
Strings sind hier string literale und werden vielleicht in der data section abgelegt.
Damit könnte es natürlich sein, dass ich alle sections durchsuchen muss die readable sind aber nicht writeable und executeable???