请问,写内存数据的API函数除了WriteProcessMemory以外,还有什么?

ztxnet 2010-04-19 11:20:30

有一个程序A写了内存数据,我需要知道内存patch点,

我自己写了一个程序hook了WriteProcessMemory函数,我自己写的程序能截取到其他程序的调用,什么问题也没有,

但是截取程序A的时候却是空空...

我用了网上的内存写入监视器却可以截到程序A写的地址与数据...

虽然问题解决了,但是我不解,为何我hook的WriteProcessMemory不能获取数据,

是不是他用了其他的函数来写内存?

所以我想问问各位朋友,除了WriteProcessMemory还有没有别的函数是写内存数据的? (我问的是R3下的.这个程序很小,从功能上来看也不需要进入内核)

谢谢!

...全文

505 5 打赏收藏转发到动态举报

写回复

5 条回复

切换为时间正序

请发表友善的回复…

发表回复

ztxnet 2010-04-21

打赏
举报

回复

NtWriteProcessMemory 这个函数详细信息我怎么没有找到呀,google了好久都没有结果...

ztxnet 2010-04-20

打赏
举报

回复

奇怪了,那我为什么hook不到呢,我用Zz大大的内存写入监视器就可以监视到,他的1.0版本也没有进入内核啊,就是hook的写内存函数,但是都hook了什么函数我不得而知

ztxnet 2010-04-20

打赏
举报

回复

人工置顶一下.NTWRITEPROCESSMEMORY 这个可以在ring3下hook?

IORI915189 2010-04-20

打赏
举报

回复

RING3
WriteProcessMemory 在kernel32中
NtWriteProcessMemory 在NTDLL中的

确定目标只是在R3下运行的话钩NtWriteProcessMemory

wltg2001 2010-04-19

打赏
举报

回复

应该是没有了吧，不过我以前用MASM的时候发现，如果有权限的话，用mov 同样也可以操作其它程序的内存。

在编写程序的过程中，我遇到了这样的需求：在基于Windows 9x 或 Windows NT4.0 的程序中，要求确定键盘、鼠标处于空闲状态的时间。查询了有关资料文档以后，发现Windows 9x和Windows NT4.0 没有提供API或系统调用来实现这样的功能。但是，在Windows 2000中提供了一个新的函数：GetLastInputInfo()，这个函数使用结构 LASTINPUTINFO 作为参数： LASTINPUTINFO lpi; lpi.cbSize = sizeof(lpi); GetLastInputInfo(&lpi); 调用函数GetLastInputInfo()以后, 结构成员lpi.dwTime 中的值便是自上次输入事件发生以后的毫秒数。这个值也就是键盘、鼠标处于空闲状态的时间。可惜的是这个函数只能在Windows 2000中使用，Windows 9x 或Windows NT4.0不提供此API函数。那么，如何在Windows 9x 或Windows NT4.0中实现GetLastInputInfo()的功能呢？笔者的方法是利用系统钩子对键盘、鼠标进行监控。 Windows中的钩子实际上是一个回调函数，当用户有输入动作的时候，Windows要调用这个函数。比较典型的系统钩子应用就是键盘钩子和鼠标钩子： HHOOK g_hHookKbd = NULL; HHOOK g_hHookMouse = NULL; 在Windows中，一个系统（相对于一个特定进程而言）钩子必须用一个动态链接库（DLL）来实现。不妨将这个动态链接库命名为IdleUI.dll。这个动态链接库在Windows 9x和Windows NT4.0 中实现了GetLastInputInfo()的功能。IdleUI.dll中有三个函数： BOOL IdleUIInit() void IdleUITerm(); DWORD IdleUIGetLastInputTime(); IdleUIInit()是环境初始化函数，IdleUITerm()是环境清理函数，分别在MFC应用程序的InitInstance() 和 ExitInstance()中调用它们。当用IdleUIInit()做完初始化后，就可以调用第三个函数IdleUIGetLastInputTime()来获取最后一次输入事件后的时钟。从而实现与GetLastInputInfo()一样的功能。程序TestIdleUI.exe是用来测试IdleUI动态库的，程序中调用了IdleUIInit 和 IdleUITerm，同时在程序的客户区中间显示键盘、鼠标空闲的秒数。 void CMainFrame::OnPaint() { CPaintDC dc(this); CString s; DWORD nsec = (GetTickCount() - IdleUIGetLastInputTime())/1000; s.Format( "鼠标或键盘空闲 %d 秒。",nsec); CRect rc; GetClientRect(&rc); dc.DrawText(s, &rc, DT_CENTER|DT_VCENTER|DT_SINGLELINE); } 图一显示了TestIdleUI运行时的情形。图一 TestIdleUI运行画面为了连续的显示，TestIdleUI设置刷新定时器间隔为一秒。 void CMainFrame::OnTimer(UINT) { Invalidate(); UpdateWindow(); } 运行TestIdleUI，当键盘和鼠标什么也不做时，可以看到计时器跳动，当移动鼠标或按键时，计时器又恢复到零，这样就实现了对输入设备空闲状态的监控。实现细节请看下面对IdleUI.dll工作原理的描述：首先调用IdleUIInit ()进行初始化，安装两个钩子：一个用于监控鼠标输入，一个用于监控键盘输入。 HHOOK g_hHookKbd; HHOOK g_hHookMouse; g_hHookKbd = SetWindowsHookEx(WH_KEYBOARD,MyKbdHook,hInst, 0); g_hHookMouse = SetWindowsHookEx(WH_MOUSE,MyMouseHook,hInst, 0); 当用户移动鼠标或按下键盘键时，Windows调用其中的一个钩子并且钩子函数开始记录时间: LRESULT CALLBACK MyMouseHook(in

本节书摘来自异步社区《C++ 黑客编程揭秘与防范（第2版）》一书中的第6章6.6节调试API函数的使用，作者冀云,更多章节内容可以访问云栖社区“异步社区”公众号查看。 6.6 调试API函数的使用C++ 黑客编程揭秘与防范（第2版）Windows中有些API函数是专门用来进行调试的，被称作Debug API，或者是调试API。利用这些函数可以进行调试器的...

本节书摘来自异步社区出版社《C++ 黑客编程揭秘与防范（第2版）》一书中的第6章，第6.6节，作者：冀云，更多章节内容可以访问云栖社区“异步社区”公众号查看。 6.6 调试API函数的使用 C++ 黑客编程揭秘与防范（第2版）Windows中有些API函数是专门用来进行调试的，被称作Debug API，或者是调试API。利用这些函数可以进行调试器的开发，...

软件安全系列图书——《加密与解密》（第三版）引用: 第18章补丁技术20 18.1 文件补丁 18.2 内存补丁 18.2.1 跨进程内存存取机制 18.2.2 Debug API机制 18.2.3 利用调试寄存器机制 18.2.4 DLL劫持技术 18.3 SMC补丁技术 18.3.1 单层SMC补丁技术 18.3.2 多层SMC补丁技术 18

WinSDK是编程中的传统难点，个人写的WinAPI程序也不少了，其实之所以难就难在每个调用的API都包含着Windows这个操作系统的潜规则或者是windows内部的运行机制……WinSDK是编程中的传统难点，曾经听有一个技术不是很好的朋友乱说什么给你API谁都会用，其实并非那么简单，个人写的WinAPI程序也不少了，其实之所以难就难在每个调用的API都包含着Windows这个操作系统的潜规则或...

进程/线程/DLL

15,471

社区成员

49,181

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章