16,471
社区成员
发帖
与我相关
我的任务
分享关于VirtualQueryEx的问题
上次我曾问过有关内存修改器的工作原理,FireAngel大哥提供了如下回答
“
1.用Process32First和Process32Next可以玫举所有的进程(Window95/98实现了,WINNT4.0以及一下没有实现,Win2000实现了,如果是用NT4的话,就比较麻烦了,要用Performanance Data,太麻烦了,不说了。)
2.用VirtualQueryEx可以得到一个进程的内存的信息,如开始地址等(95/98/NT4/2000都实现了,就NT3.5没实现,要自己写,很麻烦的,不说了,如果感兴趣,给你源代码。)
3.然后用ReadProcessMemory和WriteProcessMemory就可以实现对某一进程内存的修改,这两个函数95/98/NT4/2000都实现了,读和写的方式是通过ReadPorcessMemory将内存块读到本进程中,就是在本进程上的一个拷贝,然后对这个拷贝执行各种操作,反正是在本进程中地一个拷贝(本进程中的一片内存),随你怎么操作啦,再将内存块用WriteProcessMemory写回去,就实现了对该内存数据的修改,象金山游侠、FPE那样的操作实际都是先对在本进程中的拷贝进行操作,然后将拷贝写回去。
”
我回去试了一下,的确,用Process32First和Process32Next可以玫举所有的进程;但当我进行下一步即用VirtualQueryEx得到进程的内存的信息时,又出现了问题。简单来说,就是VirtualQueryEx的第一第二和第四个参数代表什么意思,并且他们是如何确定的。
另外,ReadPorcessMemory的几个参数又是如何确定的?希望能给出一个简单的例子。
谢谢
“
1.用Process32First和Process32Next可以玫举所有的进程(Window95/98实现了,WINNT4.0以及一下没有实现,Win2000实现了,如果是用NT4的话,就比较麻烦了,要用Performanance Data,太麻烦了,不说了。)
2.用VirtualQueryEx可以得到一个进程的内存的信息,如开始地址等(95/98/NT4/2000都实现了,就NT3.5没实现,要自己写,很麻烦的,不说了,如果感兴趣,给你源代码。)
3.然后用ReadProcessMemory和WriteProcessMemory就可以实现对某一进程内存的修改,这两个函数95/98/NT4/2000都实现了,读和写的方式是通过ReadPorcessMemory将内存块读到本进程中,就是在本进程上的一个拷贝,然后对这个拷贝执行各种操作,反正是在本进程中地一个拷贝(本进程中的一片内存),随你怎么操作啦,再将内存块用WriteProcessMemory写回去,就实现了对该内存数据的修改,象金山游侠、FPE那样的操作实际都是先对在本进程中的拷贝进行操作,然后将拷贝写回去。
”
我回去试了一下,的确,用Process32First和Process32Next可以玫举所有的进程;但当我进行下一步即用VirtualQueryEx得到进程的内存的信息时,又出现了问题。简单来说,就是VirtualQueryEx的第一第二和第四个参数代表什么意思,并且他们是如何确定的。
另外,ReadPorcessMemory的几个参数又是如何确定的?希望能给出一个简单的例子。
谢谢
...全文
请发表友善的回复…
发表回复
hex 2000-10-14
- 打赏
- 举报
谢谢各位的回答,我已经明白了。
CoolHg 2000-10-13
- 打赏
- 举报
-
土豆 2000-10-11
- 打赏
- 举报
WIN32 的系统存储控件分为两部分用户部分和系统部分,各位2GB(NT下也有分为3GB和1GB的)。在WIN32下每个进程独占系统的存储空间的用户部分(低端的2GB,0x00000000-0x7fffffff)
但在这2GB的开始合末尾个各有一小块被有特别的用途,应用程序并不能使用,对于NT和95/98,这块区域的大小不一样,NT是0x0000-0xffff,95/98是多少我也不忘了,末尾块的范围我也记不得了,这些你可以去查一下,我想能明白是怎么回事就行了。你能访问的地址就介于这两块内存之间,所以你的开始地址可以是这两块内存之间的任意地址。
不知道我有没有说清楚。有什么问题我们再讨论吧。
但在这2GB的开始合末尾个各有一小块被有特别的用途,应用程序并不能使用,对于NT和95/98,这块区域的大小不一样,NT是0x0000-0xffff,95/98是多少我也不忘了,末尾块的范围我也记不得了,这些你可以去查一下,我想能明白是怎么回事就行了。你能访问的地址就介于这两块内存之间,所以你的开始地址可以是这两块内存之间的任意地址。
不知道我有没有说清楚。有什么问题我们再讨论吧。
土豆 2000-10-10
- 打赏
- 举报
ProcessReadMemory的参数:
HANDLE hProcess //待处理的进程的句柄
LPCVOID lpBaseAddress, //待处理的进程的要读取数据块的起始地址
LPVOID lpBuffer, //缓冲区地址
DWORD nSize, //要读的字节数
LPDWORD lpNumberOfBytesRead //函数处理后实际读取得字节数,要传地址
建议你可以看看 WIN32核心编程方面的书,做这些事情需要对系统比较了解的。
HANDLE hProcess //待处理的进程的句柄
LPCVOID lpBaseAddress, //待处理的进程的要读取数据块的起始地址
LPVOID lpBuffer, //缓冲区地址
DWORD nSize, //要读的字节数
LPDWORD lpNumberOfBytesRead //函数处理后实际读取得字节数,要传地址
建议你可以看看 WIN32核心编程方面的书,做这些事情需要对系统比较了解的。
editor 2000-10-04
- 打赏
- 举报
靠
这里碰上你了,追风虾
知道我是谁吧?
NT4.0下用PSAPI就可以查出来
不说了
VirtualQueryEx
第一个参数好办啊
是进程句柄,用OpenProcess打开进程ID换句柄就好了
第二个,是查询基地址
这个函数的工作原理是
根据你给出的基地址
向下查询内存分配状况
只要MEMORY_BASIC_INFORMATION结构的style和protect相同
查询结束
并给出内存块大小(通过结构)
第四个,sizeof(MEMORY_BASIC_INFORMATION)
就可以了
但要用到查内存里
还有点麻烦
别浪费时间了
看看我的代码吧
for(;;)
{
VirtualQueryEx(hProcess,(LPCVOID)dwBaseAddr,&MBI,sizeof(MBI));
if(MBI.State==MEM_COMMIT&&MBI.Protect==PAGE_READWRITE)
{
pMem=dwBaseAddr;
MaxMem=pMem+(MBI.RegionSize)/4096;
for(i = pMem;i<MaxMem;i++)
{
ReadProcessMemory(hProcess,(LPCVOID)pMem,Buffer,4096,NULL);
for(j=0;j<4096;j++)
{
if(*Buffer==FValue)
{
Addr.Add(pMem);
}
Buffer++;
pMem++;
}
Buffer=pOld;
}
}
else if(MBI.State==MEM_FREE&&MBI.RegionSize>0x08000000)
break;
dwBaseAddr+=MBI.RegionSize;
}
这里碰上你了,追风虾
知道我是谁吧?
NT4.0下用PSAPI就可以查出来
不说了
VirtualQueryEx
第一个参数好办啊
是进程句柄,用OpenProcess打开进程ID换句柄就好了
第二个,是查询基地址
这个函数的工作原理是
根据你给出的基地址
向下查询内存分配状况
只要MEMORY_BASIC_INFORMATION结构的style和protect相同
查询结束
并给出内存块大小(通过结构)
第四个,sizeof(MEMORY_BASIC_INFORMATION)
就可以了
但要用到查内存里
还有点麻烦
别浪费时间了
看看我的代码吧
for(;;)
{
VirtualQueryEx(hProcess,(LPCVOID)dwBaseAddr,&MBI,sizeof(MBI));
if(MBI.State==MEM_COMMIT&&MBI.Protect==PAGE_READWRITE)
{
pMem=dwBaseAddr;
MaxMem=pMem+(MBI.RegionSize)/4096;
for(i = pMem;i<MaxMem;i++)
{
ReadProcessMemory(hProcess,(LPCVOID)pMem,Buffer,4096,NULL);
for(j=0;j<4096;j++)
{
if(*Buffer==FValue)
{
Addr.Add(pMem);
}
Buffer++;
pMem++;
}
Buffer=pOld;
}
}
else if(MBI.State==MEM_FREE&&MBI.RegionSize>0x08000000)
break;
dwBaseAddr+=MBI.RegionSize;
}
hex 2000-10-04
- 打赏
- 举报
还有一点基地址怎么确定?随便吗?
你爷爷的,不给你分了,浪费!
你爷爷的,不给你分了,浪费!
