打开procexp.exe查看进程空间信息,proxexp提供了树型列表,方便对每个进程及其所包含的线程进行查看和分析。界面设计简单清晰,信息部分包括但不限于:每个进程的入口地址PID和相关线程的TID、CPU占用情况、进程描述以及开发公司。
打开LordPE.exe查看进程PID、虚拟内存地址和虚拟内存大小信息。该软件可通过加载一个程序来分析.text、.data等各模块的虚拟内存基址、偏移量等,如下图:
下面主要结合LordPE.exe对进程的PID进行分析,如下图:
观察到关键进程在LordPE中也可查到对应的PID值,在procexp中以十进制表示,LordPE中以十六进制表示,进程的分布并不是完全依靠procexp中树型图的结构,对于一些底层支持的进程,申请位置较靠前,其余进程基本依靠调用顺序进行空间的分配。
下面对单个进程进行独立分析,选取分析对象为Demo2020.exe程序,如下:
双击打开后可看到更为详细的信息,如下:
详细信息包括:CPU优先权、虚拟内存占用大小、所在页和读写次数等;点击线程可观察到该进程包含5个线程。
更进一步,双击线程可查看该线程的栈空间调用信息,信息从下向上读取,可观察到,Demo2020线程调用的栈信息和顺序,如下:
其中,ntdll.dll作为Windows NT的内核文件,为程序提供相关API;wow64则为笔者64位的电脑提供了运行32位程序的可能,即向该应用提供了32位模拟,使其可以在不修改的情况下运行在64位操作系统上。
对提取出的字符串信息进行查看,如下:
观察到它所提取出的信息包含了Demo2020程序所产生的消息提示窗口的提示信息,如__cdecl()调用测试的CCCCCCCCCC字符串的提示、序列号输入错误的说明格式提示信息字符串xxxx-xxxx-xxxx-xxxx等。