Дампер процесса

[Shizoid]

Здравствуйте уважаемые форумчане. В целях самообразования пытаюсь написать дампер процессов ,с помощью VirtualQueryEx и ReadProcessMemory. Вроде бы всё сделал, проверил на собственной программе , всё прекрасно работает, но попытался натравить её на целевую программу, мой дампер зацикливается, посмотрел в отладчике происходит это из-за того что VirtualQueryEx не заполняет структуру MEMORY BASIC INFORMATION, и дампер не может сдвинутся дальше, это зацикливание происходит на секции с заголовками и я не могу понять почему так происходит. Ниже прикреплю проект , если не обходимо, заранее спасибо

[JKornev]

Наверно потому что в VirtualQueryEx кладётся дескриптор процесса без соответствующих прав:

The handle must have been opened with the PROCESS_QUERY_INFORMATION access right, which enables using the handle to read information from the process object.

[Shizoid]

Всё спасибо , разобрался ) Проблема была в том что в качестве целевой платформы была выбранна x64

[Shizoid]

Прошу прощения . У меня возник еще один вопрос, как рассчитать смещение EntryPoint в файле , т.е RVA адрес в хэдере взять можно но он не соответствует тому что в файле, по нему в файле данные идут. Где то находил формулу Offset = RVA - VirtualAddress+PointerToRawData . Тогда виртуальный адрес чего необходимо взять , и поле PointerToRawData вроде только у секций есть. Или я не так понимаю?

[ximera]

Code:

IMAGE_OPTIONAL_HEADER->AddressOfEntryPoint;

вроде так.

[DarthTon]

1. Взять AddressOfEntryPoint
2. Найти секцию в которую входит этот адрес - AddressOfEntryPoint >= Section virtual address && AddressOfEntryPoint < Section virtual address + Section virtual size
3. Отнять от AddressOfEntryPoint базу секции
4. Прибавить PointerToRawData секции
5. ???
6. PROFIT

Upd: Можно так же воспользоваться функцией ImageRvaToVa. Она делает тоже самое в общем-то.

[Shizoid]

DarthTon спасибо большое , именно то что нужно было !!

[500mhz]

ImageBase + EntryPoint = Точка входа в запущенном файле (в памяти соответственно)