Da Profan etwas verschwenderisch mit Heaps umgeht, empfehle ich, das Programm mit Profan2Cpp zu compilieren. Nach dem Ausführen sieht man folgendes auf dem Bildschirm:
Danach starten wir Tasks and Token und lassen uns erst einmal die Heaps des Testprozesses mit der Listbox listen:
Unter "Programm/Optionen" befindet sich der Menüpunkt "String in Bytefolge umwandeln". Nach dem Anklicken geben wir das Wort "Hallo" ein und drücken OK.
Nach einem Rechtsklick ins Treeview von Tasks and Token wählen wir "Speicher durchsuchen" aus.
Im Unteren Edit steht nun das Wort "Hallo" bereits als hexadezimale Bytefolge.
Alle Texte von Controls stehen im Speicher als Unicodestrings, wir müsse da also noch nach jedem Byte ein Nullbyte einfügen, d.h. nach jedem zweiten Zeichen zwei Nullen. Das ganze sieht dann so aus:
Was gefunden wird, sieht in etwa so aus:
Wir wählen nun ein paar beliebige Adressen aus, einmal aus dem oberen drittel, einmal aus der mitte und einmal aus dem unteren drittel und schauen nach, in welchem Heapblock diese Adressen liegen. Die Blöcke, in denen die Adressen liegen, lassen wir uns als Strings anzeigen. Der Heapblock, den wir suchen, ist in etwa 48136 Bytes groß und liegt wahrscheinlich am Ende des ersten Heaps. Das Wort "Hallo" steht komplett am Anfang des Blockes, so wie hier zu sehen:
Jetzt kopieren wir mittels Rechtsklick die Startadresse des Blocks - dann ein Rechtsklick ins Treeview und "Speicherbereich ändern" auswählen. Als Adresse des Speicherbereichs fügen wir hier die vorher kopierte Startadresse ein, den hexadezimalen neuen Inhalt setzen wir auf 41 und klicken danach auf "Speicherbereich ändern".
Wenn wir uns jetzt die Listbox ansehen, ist mit ihr folgendes passiert:
Das was wir da gefunden haben ist also der Speicherbereich, an dem alle Einträge der Listbox gespeichert sind! Das ist ja schon mal ganz Interessant - aber wo ist der Rest der Listbox? Danach suchen wir jetzt! Wenn die Zeilen einer Listbox in einem Speicherbereich stehen, müßte ein anderer Speicherbereich wiederum auf diese Adresse verweisen - ist doch logisch, oder? Wir gehen also folgendermaßen vor: Zuerst kopieren wir wieder die Adresse des Heapblocks mit den Listviewzeilen. Danach klicken wir unter "Programm/Optionen" auf den Menüpunkt "Zahl in Bytefolge umwandeln" und fügen hier die Adresse ein.
Danach klicken wir auf OK. Nun durchsuchen wir wieder den Prozessspeicher des Testprozesses mit der Listbox - und zwar nach der Adresse als Doubleword in hexadezimaler Bytefolge (siehe Bild):
Das wurde bei mir gefunden:
Unter den gefundenen Adressen suchen wir nach einer Adresse innerhalb eines Heapblocks des ersten Heaps (bei mir 38184396). Der gesuchte Bereich dürfte 720 Bytes groß sein. Wir stellen nun den Inhalt dieses Bereichs als dezimale Doublewords da (bei mir 38183824):
Danach kopieren wir den ganzen Bereich mittels Rechtsklick in die Zwischenablage:
Das kommt bei mir dabei heraus:
