有些软件会把文件读取到内存中,有没有软件能够查看内存中有哪些文件并提取出来?
文件读入内存后的内容,多半不是 文件的原来样子了,一般是解密、解压缩、预处理过的了
1.下载WinHex
2.启动后在菜单中点击“工具→打开RAM”
3.选择你想要的进程
4.我只能帮你到这,后面就靠你自己了 
1 Like
在内存里面就是一锅粥了,除非深入理解系统和程序对内存的管理,不然很难整理出什么有效的文件处理。
此题好像是动态解密的问题,具体算法哪有那么容易
如果你是要一些软件的特殊资源, 他们往往会自解包到某个文件夹里.
如果要看内存的, winhex是个超级牛逼的软件.
不过, 也有很多小工具也是可以根据进程来查看文件内存的.
比如 nirsoft 有 HeapMemView
再比如著名的游戏修改器CE其实也可以的. 而且ce的功能更强大.
5 Likes
多嘴一句,如果是打算提取自解包可执行文件里的资源的话,有时候用sandboxie之类的沙盒会有奇效。