我与IDA的工作和我有OpenProcess函数接收dwDesireAccess的0x410:
根据MSDN我们可以看到这0x410是OR两个访问权限之间的结果:
PROCESS_QUERY_INFORMATION (0x0400)
PROCESS_VM_READ (0x0010)
如何设置标准符号常量,例如
PROCESS_QUERY_INFORMATION | PROCESS_VM_READ?
我必须手动完成(使用“手动...”)?
这只是我所拥有的:
您可以创建一个位域 enum。由于包含PROCESS_VM_READ在 MSSDK 类型库中的枚举已经存在,我们将复制它并将其修改为位域。
转到枚举子视图,然后右键单击并添加枚举...(Insert在 Windows 上按)。
单击按符号名称添加标准枚举。
查找PROCESS_VM_READ,然后单击确定。
MACRO_PROCESS应该添加一个名为的新枚举。展开它(CtrlNumpad +或右键单击 →取消隐藏)
删除枚举成员PROCESS_ALL_ACCESS(U选择时按下)。
右键单击并选择编辑枚举... ( CtrlE)。
选中位域,然后单击确定。(如果不执行第 5 步,此步骤将失败)
现在 MACRO_PROCESS 位域应该在您点击M410h时出现,并且应该显示为类似
mov eax, PROCESS_VM_READ or PROCESS_QUERY_INFORMATION