要修改或读取其他进程的数据,首先要知道几个知识:
一、1.windows系统为每个程序分配4GB的虚拟内存,虚拟内存由“页文件”实现。
2.每个程序的4GB空间的前2GB是程序的私有空间,后2GB是系统的空间。
3.每个页文件4KB。
4.在程序私有的2GB中,windows 98系列的系统的程序的可用地址为4MB--2GB
windows 2000系列的系统的程序的可用地址为64KB--2GB
因此还需要先判别程序运行的操作系统。
二、1.查阅MSDN可知,Read/WriteProcessMemory都需要一定的权限,
因此打开句柄时必须赋予相应权限。
这个程序是《Windows程序设计》——王艳平著的第二章的一个程序
程序的具体实现过程是:
创建一个子进程执行一个自己写的测试程序,
然后得到有读权限的子进程的句柄,搜索要改的数据的内存,最后修改。
原程序稍有错误,原程序没有取得读和写权限,所以GetLastError会返回998——内存位置访问无效。
和5——拒绝访问。
修改后程序正确执行,但是在读取一些不可用内存地址时会有229错误(会有很多,是正常的)
——仅完成部分的 ReadProcessMemory 或WriteProcessMemory 请求。
修改后的源代码如下:
/****以下是02MemRepair.cpp中的代码****/
#include <stdio.h>#include <windows.h>
BOOL FindFirst(DWORD dwValue); // 在目标进程空间进行第一次查找BOOL CompareAPage(DWORD dwBaseAddr,DWORD dwValue);// 比较目标进程内存一页中比较BOOL FindNext(DWORD dwValue); // 在目标进程空间进行第二三四查找void ShowList(); // 打印搜索出的地址DWORD g_arList[1024]; // 存放查找到的地址列表int g_nListCnt; // 有效地址个数HANDLE g_hProcess; // 目标进程句柄DWORD dError; // 错误代码
int main(int argc,char* argv[]){ // 启动测试程序 char szFileName[] = "..//02TestMemRepair//debug//02TestMemRepair.exe"; STARTUPINFO si = {sizeof(STARTUPINFO)}; PROCESS_INFORMATION pi; ::CreateProcess(NULL,szFileName,NULL,NULL,FALSE,CREATE_NEW_CONSOLE,NULL,NULL, &si,&pi); ::CloseHandle(pi.hThread); // 打开句柄要给予能读的权限,据MSDN知最少是PROCESS_VM_READ g_hProcess = ::OpenProcess(PROCESS_ALL_ACCESS,FALSE,pi.dwProcessId); // 输入要修改的值 int iVal; printf(" 想要修改的数据现在的值是:"); scanf("%d",&iVal);
// 进行第一次查找 if(!FindFirst(iVal)) { printf("FindFirst失败"); getchar();
return FALSE; }
// 打印搜索出的结果 ShowList(); // 若搜索结果不唯一,再次进行搜索 while(g_nListCnt>1) { printf("/n 搜索结果不唯一,改变数据的值后再次搜索,新值为:"); scanf("%d",&iVal); if(FindNext(iVal)) ShowList(); else { printf(" FindNext失败"); return FALSE; } }
// 搜索结果唯一,进行修改 printf("/n 想要修改成的值为:"); scanf("%d",&iVal); if(::WriteProcessMemory(g_hProcess,(LPVOID)g_arList[0],&iVal,sizeof(iVal),NULL)) printf("/n 修改成功!/n"); else { printf(" WriteProcessMemory失败"); return FALSE; } ::CloseHandle(g_hProcess); return 0;}
BOOL FindFirst(DWORD dwValue){ const DWORD dwOneGB = 1024*1024*1024; // 1GB=1073741824 const DWORD dwOnePage = 4*1024; // 4KB=4096 if(g_hProcess == NULL) { printf(" 要读取的进程不存在/n"); return FALSE; } // 查看操作系统类型,以决定开始地址 DWORD dwBase; OSVERSIONINFO vi = {sizeof(OSVERSIONINFO)}; ::GetVersionEx(&vi); if(vi.dwPlatformId==VER_PLATFORM_WIN32_WINDOWS) { printf(" 操作系统为98系列/n"); dwBase = 4*1024*1024; // 98系列,4MB=4194304 } else { printf(" 操作系统为NT系列/n"); dwBase = 65536;// NT系列,64KB=65536 }
// 在开始地址到2GB的地址空间进行查找 for(;dwBase<2*dwOneGB;dwBase+=dwOnePage) { // 每次在一页中查找 if(CompareAPage(dwBase,dwValue)) { printf(" CompareAPage成功/n"); } else { printf(" CompareAPage失败/t%d/n",GetLastError()); continue; } } return TRUE;}
BOOL CompareAPage(DWORD dwBaseAddr,DWORD dwValue){ // 读取一页的内存 BYTE arByte[4096]; if(::ReadProcessMemory(g_hProcess,(LPCVOID)dwBaseAddr,arByte,4096,NULL)) { printf(" ReadProcessMemory成功/n"); int* pdw; for(int i=0;i<4096;i++) { pdw = (int*)&arByte[i]; if(*pdw==dwValue) // 如果等于要查找的值 { if(g_nListCnt>=1024) { printf(" 找到的地址过多/n"); return FALSE; } //添加到全局变量中 g_arList[g_nListCnt++] = dwBaseAddr+i; } } } else { printf(" ReadProcessMemory失败/t%d/n",::GetLastError()); return FALSE; // 这页不可读 } // 在这一页中查找 return TRUE;}
BOOL FindNext(DWORD dwValue){ int nOrgCnt = g_nListCnt; g_nListCnt = 0; DWORD dwSecondRead; // 存储从地址中取出的值,与新值dwValue比较 // 在已经搜索出来的地址中再次查找 for(int m=0;m<nOrgCnt;m++) { if(::ReadProcessMemory(g_hProcess,(LPCVOID)g_arList[m],&dwSecondRead,sizeof(DWORD),NULL)) { if(dwSecondRead==dwValue) g_arList[g_nListCnt++] = g_arList[m]; } else { printf(" ReadProcessMemory失败"); return FALSE; } return TRUE; }}
