>>> Врезка что находится в куче
Большинство игрушек хранят свои переменные в секции данных, которую все дамперы дампят по умолчанию. Некоторые программы используют для этой цели динамическую память, называемую кучей (heap), что значительно хуже. Если в снятом дампе ничего похожего на здоровье не обнаружено, необходимо сдампить не только образ файла (image), но еще и кучу.
В LordPE это делается так: в контекстом меню выбирается пункт "dump region" и в открывшемся списке регионов выделяются все блоки типа COMMIT/PRIVATE с атрибутами доступа на чтение и запись. Иногда переменные находится в самом большом блоке, иногда —нет. Короче, тут без эксперимента ничего конкретного не скажешь!
Рисунок 12 кладем кучу в дамп