Смотри в оба...
Хакер, номер #022, стр. 022-032-1
Терехов Михаил (stranger@xakep.ru)
Программа, которую я хочу тебе представить, относится к классу программ-менеджеров процессов. Она, как и все программы из этого класса, может выполнять такие действия, как показ списка процессов, показ/изменение приоритета процесса, возможность "снятия" любого процесса, показ сопутствующих процессу DLL и потоков, а также показ всех открытых и скрытых окон. Но у проги X-Eye есть ряд возможностей, которые почти нигде не встречаются. Вот на них мы и остановимся немного поподробнее.
Для начала скачай данную софтину с x_eye.boom.ru. Весит она совсем немного. Всего 184 кило. Инсталлировать прогу не придется, просто скачай файл и запусти его. Перед тобой предстанет главная форма программы, представляющая собой окно, в котором находится список открытых файлов и кнопки управления.
Справа в окне видны имена всех файлов, запущенных у тебя на машине, а слева расположен ряд кнопок. Кнопка "View all process" открывает форму просмотра активных процессов с информацией о них. Как ты видишь, данное окно делится на две части. В верхней части в виде таблицы представлен список всех процессов, работающих на данный момент на компе.
Эта таблица имеет несколько колонок:
"Process" - имя запущенного файла (процесса);
"PID" - уникальный идентификатор процесса;
"C.Usage" - счетчик ссылок на данный процесс;
"Threads" - количество потоков, которыми владеет процесс;
"Parent PID" - идентификатор процесса, породившего данный;
"Priority" - приоритет процесса;
"Full Path" - полный путь к файлу на диске.
А в нижней части окно состоит из несколько вкладок.
"Modules" - показывает инфу об используемых этим процессом модулях.
"Threads" - в этом окне представлена информация о потоках процесса.
"Descriptors" - данные об открытых процессом дескрипторах. Все они располагаются в таблице, которая состоит из трех колонок. В первой адреса памяти, где содержится блок описания дескриптора; во второй - флаги, с которых был получен дескриптор, а в третьей колонке - описание объекта, к которому этот дескриптор относится.
"Envir" и "Version" - хоть эти закладки и есть, но они пока еще находятся в стадии разработки.
При нажатии на правую кнопку крыски в верхнем окошке можно выбрать "окно просмотра карты памяти" процесса. Для этого необходимо обхватить своей огромной лапищей крысу, навести курсор на интересующий тебя процесс, нажать на правую кнопку и выбрать в выпадающем меню Show memory map.
В таблице представлена следующая информация: адрес данного региона памяти; адрес блока, которому принадлежит регион; тип доступа; размер; статус (commit - память есть, reserved - нет); тип защиты (чтение, запись).
Если же ты все никак не можешь успокоиться достигнутым, и тебе необходимо просмотреть участок памяти выбранного тобой процесса, то выдели его и нажми на правую клавишу мышки. Выбери Read memory. В полях From (стартовый адрес) и Lenght (длина) задай какие-нибудь значения. Стартовый адрес можешь не трогать, а вот длину поставь 50 или 100. После того как ты задал необходимые тебе значения, жми на Read. Прога считывает и выводит на экран выбранный тобою фрагмент памяти.
