21.5. Содержимое оперативной памяти

Для доступа к памяти процесса можно использовать функции стандартного Win32 API. В операционных системах семейства NT некоторые процессы могут быть запущены с атрибутами безопасности, не позволяющими простым пользователям получать доступ к внутренностям процесса. Но это делается для того, чтобы защитить ядро операционной системы в многопользовательской среде. А в случаях исследования программ, как правило, пользователь может поставить себе любые права доступа и не встретит препятствий для доступа к памяти исследуемого процесса.

Существуют также специальные программы, позволяющие не просто сохранить фрагмент памяти на диск, но записать его в формате Portable Executable (РЕ). Такая операция называется получением дампа исполняемого файла и применяется для получения расшифрованной и распакованной версии исследуемой программы.