0

Windows 2000 システムの物理メモリにアクセスしようとしています (メモリ ダンプ ツールを使用せずにアクセスしようとしています)。私の理解では、ハンドルを作成するには CreateFile 関数を使用してこれを行う必要があります。これを解決するために、古いバージョンのwin32ddを使用しました。Web 上の他のドキュメントでは、「\Device\PhysicalMemory」または「\\.\PhysicalMemory」のいずれかを使用するように指示されています。残念ながら、それぞれに同じエラーが発生します。

Traceback (most recent call last):
   File "testHandles.py", line 101, in (module)
   File "testHandles.py", line 72, in createFileHandle
pywintypes.error: (3, 'CreateFile', 'The system cannot find the path specified.')

実際には、\\.\PhysicalMemory == 3 および \Device\PhysicalMemory == 2 を実行するたびに返されるエラー番号が異なります。 .

これが私のコードです。これを Windows 2000 で動作させるために py2exe を使用しています (もちろん、正常にコンパイルされます)。DeviceIoControl にも問題がある可能性があることは認識していますが、現在は CreateFile に集中しています。

# testHandles.py

import ctypes
import socket
import struct
import sys
import win32file
import pywintypes

def createFileHandle():

    outLoc = pywintypes.Unicode("C:\\Documents and Settings\\Administrator\\My Documents\\pymemdump_dotPM.dd")
    handleLoc = pywintypes.Unicode("\\\\.\\PhysicalMemory")
    #handleLoc = pywintypes.Unicode("\\Device\\PhysicalMemory")
    placeHolder = 0
    BytesReturned = 0


    # Device =                                              CreateFile(L"\\\\.\\win32dd", GENERIC_ALL, FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
    #                                                           CreateFile(fileName,                        desiredAccess ,          shareMode ,    attributes , creationDisposition ,      flagsAndAttributes ,                    hTemplateFile )
    #hMemHandle = win32file.CreateFile(handleLoc, GENERIC_ALL, SHARE_READ, None, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, None)
    hMemHandle = win32file.CreateFile(handleLoc, win32file.GENERIC_READ, win32file.FILE_SHARE_READ, None, win32file.OPEN_EXISTING, win32file.FILE_ATTRIBUTE_NORMAL, None)
    print "hMemHandle: %s" % hMemHandle
    if (hMemHandle == NO_ERROR):
        print "Could not build hMemHandle"
        sys.exit()

    # We send destination path to the driver.
    #if (!DeviceIoControl(hMemHandle, 0x19880922, outLoc, (ULONG)(wcslen(outLoc) + 1) * sizeof(TCHAR), NULL, 0, &BytesReturned, NULL))
    if (ctypes.windll.Kernel32.DeviceIoControl(hMemHandle, 0x19880922, outLoc, 5, NULL, 0, BytesReturned, NULL)):
        print "Error: DeviceIoControl(), Cannot send IOCTL.\n"
    else:
        print "[win32dd] Physical memory dumped. You can now check %s.\n" % outLoc

# Dump memory
createFileHandle()

ありがとう、カッタウェイ

4

1 に答える 1

0

Windows のユーザー モード ランドから物理メモリ オブジェクトにアクセスできるとは思えません。win32ddリンクが示唆するように、カーネル モードから実行する必要があります。

于 2009-09-23T22:09:01.097 に答える