调用ReadProcessMemory 0x0000012B

Baesky 2010-09-11 08:27:06
访问权限给的是READ,没用write
连续扫描全局地址就没事,间隔的读取不连续的空间就有问题.
...全文
663 6 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
6 条回复
切换为时间正序
请发表友善的回复…
发表回复
Baesky 2010-09-30
  • 打赏
  • 举报
 回复
[Quote=引用 5 楼 zhanshen2891 的回复:]

你怎么知道值有改变的部分的?
[/Quote]
写的有代码算法啊~
zhanshen2891 2010-09-14
  • 打赏
  • 举报
 回复
你怎么知道值有改变的部分的?
Baesky 2010-09-14
  • 打赏
  • 举报
 回复
绝对的求救!
Baesky 2010-09-13
  • 打赏
  • 举报
 回复
哪位知道?
Baesky 2010-09-11
  • 打赏
  • 举报
 回复
写了个内存扫描器,我第一扫全局范围(0x00000000~0x7fffffff)连续的扫,能读出来值没问题,后来某进程数据改编后我再扫描,这个时候我只扫描值有改变的部分,就出现问题了,GetLastError每次都报0x0000012B这个错误,查ErrLookUp得知说是"仅完成部分的 ReadProcessMemory 或 WriteProcessMemory 请求。"
Eleven 2010-09-11
  • 打赏
  • 举报
 回复
啥问题?
易语言API读写内存源码
易语言API读写内存源码,先输入要写进内存的输入点击写内存,然后就可以从内存中读出数据了,纯API函数编写。@yechunlin。Tags:API读写内存。
32位函数重定向,文件说明参考博客32位函数重定向
一、32位系统下函数重定向说明 原理:找到想要hook的函数在内存中的地址,将函数的头几个字节保存在自己的内存中,用jump cpu指令改写函数的头几个字节,该指令会转移到替换函数的内存地址,(替换函数必修和被hook的函数标记完全相同),当被hook的函数被调用时,jump指令实际上将转移到替换函数上执行,实现hook的目的。 具体实现方法: //修改API入口为 mov eax, 00400000;jmp eax使程序能跳转到自己的函数 BYTE g_bJumpTemplate[8] = { 0xB8, 0x0, 0x0, 0x40, 0x0, 0xFF, 0xE0, 0x0 };//第二到第五个字节将被替换为将要执行的函数的地址 1、找到MessageBox在内存中的地址(user32.dll中的MessageBoxW)(Kernel32.dll"中的 "CreateProcess") DWORD dwOldFuncAddr = (DWORD)GetProcAddress(hDll, cFuncName) ; 2、将函数的头8个字节读出并保存, 如保存到bOldJumpBytes中 ReadProcessMemory( hProcess, (void *)pHookApiInfo->dwOldFuncAddr, // pHookApiInfo->dwOldFuncAddr = dwOldFuncAddr (void *)pHookApiInfo->bOldJumpBytes, sizeof(DWORD)*2, NULL ) 3、用jump指令改写函数的头几个字节,指令会转移到要替换的函数的内存地址(替换函数必须和原函数标记完全相同,参数,返回值,调用规则必须一样) memcpy(pHookApiInfo->bNewJumpBytes, g_bJumpTemplate, 8) ; DWORD *pdwNewJumpAddr = (DWORD *)(pHookApiInfo->bNewJumpBytes + 1) ;//将要修改第2到第5个字节 memcpy(pdwNewJumpAddr, &dwNewFuncAddr, sizeof(DWORD)) ; 将替换函数地址写到原来函数开始的第2到第5个字节 // 将修改后的8个字节写回原来函数的地址中 if ( !WriteProcessMemory( hProcess, (void *)pHookApiInfo->dwOldFuncAddr, (void *)pHookApiInfo->bNewJumpBytes, sizeof(DWORD)*2, NULL ) ) { break ; } 以上即可实现函数的重定向,当系统调用messagebox时,则会执行到dwNewFuncAddr的函数中 取消挂载则是将保存的原来函数的前8个字节写回去即可。 缺点:在x 8 6、A l p h a和其他的C P U上的J U M P指令是不同的,必须使用手工编码的机器指令才能使这种方法生效,这种方法在抢占式多线程环境中也不适用 代码参考:hookapi_32 原文参考:windows核心编程第22章第9节
内存扫描原理
内存扫描源代码,大家可以看看,不行的就提提意见!!!
通过VAD树枚举进程DLL(通过processID)
通过VAD树枚举进程DLL,VAD(Virtual address descriptor) 是一棵平衡二叉搜索树。管理着一个进程的虚拟内存。当然其中也包含着一个进程的dll模块信息
C#读写内存打开进程的类.cs
C# 读写内存 进程 辅助工具 修改器 一切写单机游戏的修改器、辅助工具、WG的利器。 是属于C#的类文档
VC/MFC

16,548

社区成员

421,620

社区内容

发帖
与我相关
我的任务
社区描述
VC/MFC相关问题讨论
社区管理员
  • 基础类社区
  • AIGC Browser
  • encoderlee
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告

        VC/MFC社区版块或许是CSDN最“古老”的版块了,记忆之中,与CSDN的年龄几乎差不多。随着时间的推移,MFC技术渐渐的偏离了开发主流,若干年之后的今天,当我们面对着微软的这个经典之笔,内心充满着敬意,那些曾经的记忆,可以说代表着二十年前曾经的辉煌……
        向经典致敬,或许是老一代程序员内心里面难以释怀的感受。互联网大行其道的今天,我们期待着MFC技术能够恢复其曾经的辉煌,或许这个期待会永远成为一种“梦想”,或许一切皆有可能……
        我们希望这个版块可以很好的适配Web时代,期待更好的互联网技术能够使得MFC技术框架得以重现活力,……

试试用AI创作助手写篇文章吧

+ 用AI写文章