我可以使用 ReadProcessMemory 在 Windows 中讀取進程的程序內存嗎?
[英]Can I use ReadProcessMemory to read program memory of a process in windows?
問題描述
我有這個線程在我的程序進程中運行。 該線程應該讀取該進程的程序內存以檢測是否發生了任何禁止的代碼注入。 現在我如何訪問進程的程序內存? 我可以使用
ReadProcessMemory();
函數,如果我獲得帶有 ALL_ACCESS 標志的進程句柄,讀取程序內存? 還有一種方法可以以這種方式搜索此程序內存,以便我可以將此內存掃描限制為少數感興趣的特定方法或檢測特定方法的基地址和長度?
1 個解決方案
解決方案1
1 2020-05-15 00:23:01
是的,如果您獲得具有 READ 權限的進程句柄(包含在 PROCESS_ALL_ACCESS 中),您可以使用 ReadProcessMemory() 來讀取目標進程的內存。
您要執行的操作稱為模式掃描。 首先,您將使用 VirtualQueryEx() 查找以 MEM_COMMIT 作為狀態且沒有 PAGE_NOACCESS 或 PAGE_GUARD 作為保護類型的內存區域。
您可以使用模式掃描功能遍歷這些內存區域,以查找要列入黑名單的特定簽名。
這是循環內存的基本思想
int main()
{
DWORD procid = GetProcId("whatever.exe");
MEMORY_BASIC_INFORMATION meminfo;
unsigned char* addr = 0;
HANDLE hProc = OpenProcess(PROCESS_ALL_ACCESS, FALSE, procid);
MEMORY_BASIC_INFORMATION mbi;
while (VirtualQueryEx(hProc, addr, &mbi, sizeof(mbi)))
{
if (mbi.State == MEM_COMMIT && mbi.Protect != PAGE_NOACCESS)
{
std::cout << "base : 0x" << std::hex << mbi.BaseAddress << " end : 0x" << std::hex << (uintptr_t)mbi.BaseAddress + mbi.RegionSize << "\n";
}
addr += mbi.RegionSize;
}
CloseHandle(hProc);
}
您可以從這里找到許多不同的圖案掃描功能來完成工作。
程序如何通過 ReadProcessMemory 從內存中讀取自己的圖像?
[英]How can a program read its own image from memory via ReadProcessMemory?
如何使用帶有向量的 winapi ReadProcessMemory 從另一個進程讀取緩沖區?
[英]How to use winapi ReadProcessMemory with vector to read buffer from another process?
C ReadProcessMemory-如何檢查與進程關聯的內存區域
[英]C ReadProcessMemory - how to examine the memory area associated with a process
如何在Windows Mobile上增加進程的可用內存?
[英]How can I increase the available memory for a process on Windows Mobile?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
我可以使用 ReadProcessMemory 讀取線程的 memory
程序如何通過 ReadProcessMemory 從內存中讀取自己的圖像?
如何使用帶有向量的 winapi ReadProcessMemory 從另一個進程讀取緩沖區?
ReadProcessMemory 讀取進程中的所有 0 memory
可以在沒有 readprocessmemory 的情況下讀取內存地址
為什么將ReadProcessMemory()與當前進程的句柄一起使用?
C ReadProcessMemory-如何檢查與進程關聯的內存區域
如何在Windows Mobile上增加進程的可用內存?
Windows:直接讀取另一個進程的內存
使用 nodejs 在 windows 中讀取進程的內存值
相關標簽