如何访问一个进程的内存空间

原创 2001年09月27日 11:29:00

           如何访问一个进程的内存空间
    在WIN32中,每个应用程序都可“看见”4GB的线性地址空间,其中最开始的
4MB和最后的2GB由操作系统保留,剩下不足2GB的空间用于应用程序私有空间。
具体分配如下:0xFFFFFFFF-0xC0000000的1GB用于VxD、存储器管理和文件系统;
0xBFFFFFFF-0x80000000的1GB用于共享的WIN32 DLL、存储器映射文件和共享存
储区;0x7FFFFFFF-0x00400000为每个进程的WIN32专用地址;0x003FFFFF-
0x00001000为MS-DOS 和 WIN16应用程序;0x00000FFF-0x00000000为防止使用
空指针的4,096字节。以上都是指逻辑地址,也就是虚拟内存。
    虚拟内存通常是由固定大小的块来实现的,在WIN32中这些块称为“页”,
每页大小为4,096字节。在Intel CPU结构中,通过在一个控制寄存器中设置一位
来启用分页。启用分页时CPU并不能直接访问内存,对每个地址要经过一个映射
进程,通过一系列称作“页表”的查找表把虚拟内存地址映射成实际内存地址。
通过使用硬件地址映射和页表WIN32可使虚拟内存即有好的性能而且还提供保护。
利用处理器的页映射能力,操作系统为每个进程提供独立的从逻辑地址到物理地
址的映射,使每个进程的地址空间对另一个进程完全不可见。WIN32中也提供了
一些访问进程内存空间的函数,但使用时要谨慎,一不小心就有可能破坏被访问
的进程。本文介绍如何读另一个进程的内存,写内存与之相似,完善一下你也可
以做个 FPE 之类的内存修改工具。好吧,先准备好编程利器Delphi 和 参考手
册 MSDN ,开始了!
  ReadProcessMemory 读另一个进程的内存,原形如下:
    BOOL ReadProcessMemory(
    HANDLE hProcess,         // 被读取进程的句柄;
    LPCVOID lpBaseAddress,      // 读的起始地址;
    LPVOID lpBuffer,         // 存放读取数据缓冲区;
    DWORD nSize,         // 一次读取的字节数;
    LPDWORD lpNumberOfBytesRead // 实际读取的字节数;
  );
hProcess 进程句柄可由OpenProcess 函数得到,原形如下:
  HANDLE OpenProcess(
    DWORD dwDesiredAccess, // 访问标志;
    BOOL bInheritHandle,   // 继承标志;
    DWORD dwProcessId      // 进程ID;
  );
当然,用完别忘了用 CloseHandle 关闭打开的句柄。
读另一个进程的内存 dwDesiredAccess 须指定为 PROCESS_VM_READ ,
写另一个进程的内存 dwDesiredAccess 须指定为 PROCESS_VM_WRITE ,
继承标志无所谓,进程ID可由 Process32First 和 Process32Next 得到,
这两个函数可以枚举出所有开启的进程,这样进程的信息也就得到了。
Process32First 和 Process32Next是由 TLHelp32 单元提供的,需在
uses 里加上TLHelp32。ToolsHelp32 封装了一些访问堆、线程、进程等
的函数,只适用于Win9x,原形如下:
  BOOL WINAPI Process32First(
    HANDLE hSnapshot      // 由 CreateToolhelp32Snapshot 返回
                             的系统快照句柄;
    LPPROCESSENTRY32 lppe // 指向一个 PROCESSENTRY32 结构;
  );
  BOOL WINAPI Process32Next(
    HANDLE hSnapshot      // 由 CreateToolhelp32Snapshot 返回
                             的系统快照句柄;
    LPPROCESSENTRY32 lppe // 指向一个 PROCESSENTRY32 结构;
  );
hSnapshot 由 CreateToolhelp32Snapshot 返回的系统快照句柄;
CreateToolhelp32Snapshot 原形如下:
  HANDLE WINAPI CreateToolhelp32Snapshot(
    DWORD dwFlags,      // 快照标志;
    DWORD th32ProcessID // 进程ID;
  );
现在需要的是进程的信息,所以将 dwFlags 指定为 TH32CS_SNAPPROCESS,
th32ProcessID 忽略;PROCESSENTRY32 结构如下:
  typedef struct tagPROCESSENTRY32 {
    DWORD dwSize;             // 结构大小;
    DWORD cntUsage;           // 此进程的引用计数;
    DWORD th32ProcessID;      // 进程ID;
    DWORD th32DefaultHeapID;  // 进程默认堆ID;
    DWORD th32ModuleID;       // 进程模块ID;
    DWORD cntThreads;         // 此进程开启的线程计数;
    DWORD th32ParentProcessID;// 父进程ID;
    LONG  pcPriClassBase;     // 线程优先权;
    DWORD dwFlags;            // 保留;
    char szExeFile[MAX_PATH]; // 进程全名;
  } PROCESSENTRY32;
至此,所用到的主要函数已介绍完,实现读内存只要从下到上依次调用
上述函数即可,具体参见原代码:

procedure TForm1.Button1Click(Sender: TObject);
var
  FSnapshotHandle:THandle;
  FProcessEntry32:TProcessEntry32;
  Ret : BOOL;
  ProcessID : integer;
  ProcessHndle : THandle;
  lpBuffer:pByte;
  nSize: DWORD;
  lpNumberOfBytesRead: DWORD;
  i:integer;
  s:string;
begin
  FSnapshotHandle:=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
    //创建系统快照
  FProcessEntry32.dwSize:=Sizeof(FProcessEntry32);
    //先初始化 FProcessEntry32 的大小
  Ret:=Process32First(FSnapshotHandle,FProcessEntry32);
  while Ret do
  begin
    s:=ExtractFileName(FProcessEntry32.szExeFile);
    if s='KERNEL32.DLL' then
    begin
      ProcessID:=FProcessEntry32.th32ProcessID;
      s:='';
      break;
    end;
    Ret:=Process32Next(FSnapshotHandle,FProcessEntry32);
  end;
   //循环枚举出系统开启的所有进程,找出“Kernel32.dll”
  CloseHandle(FSnapshotHandle);
  Memo1.Lines.Clear ;
  memo1.lines.add('Process ID '+IntToHex(FProcessEntry32.th32ProcessID,8));
  memo1.lines.Add('File name '+FProcessEntry32.szExeFile);
    ////输出进程的一些信息
  nSize:=4;
  lpBuffer:=AllocMem(nSize);
  ProcessHndle:=OpenProcess(PROCESS_VM_READ,false,ProcessID);
  memo1.Lines.Add ('Process Handle '+intTohex(ProcessHndle,8));
  for i:=$00800001 to $0080005f do
  begin
    ReadProcessMemory(
                     ProcessHndle,
                     Pointer(i),
                     lpBuffer,
                     nSize,
                     lpNumberOfBytesRead
                     );
    s:=s+intTohex(lpBuffer^,2)+' ';
      //读取内容
    if (i mod 16) =0 then
    begin
      Memo1.Lines.Add(s);
      s:='';
    end;
      //格式化输出
  end;
  FreeMem(lpBuffer,nSize);
  CloseHandle(ProcessHndle);
   //关闭句柄,释放内存
end;
以上程序在 Delphi4 中文Win98 下调试通过。

(ypy@yeah.net)

读取任意进程内存

用进程快照信息找到进程,打开后读取内存,没什么技术含量。。 void CReadMemDlg::OnBtnRead() { UpdateData(); void *nAddr; UIN...
  • kingpharaoh
  • kingpharaoh
  • 2015年09月05日 10:51
  • 489

获取进程的内存(专用工作集)

#include #include #include #pragma comment(lib,"psapi.lib") using namespace std; SIZE_T Ca...
  • wyyy2088511
  • wyyy2088511
  • 2017年08月11日 17:41
  • 454

读取其他进程内存数据

1. 读取进程内存数据   读取其他进程内存数据,需要用到的windows API函数: BOOL ReadProcessMemory( HANDLE hProcess, LPCV...
  • zhoutianyou
  • zhoutianyou
  • 2012年05月28日 17:09
  • 2762

仿外.挂之读取内存数据...

呵呵,花了两天的时间,从找基址到理解内存,终于完成了内存数据的读取工作... 写完这个小程序,我基本上掌握了外挂的制作技术了... 在此将心得体会写下来,留着以后复习用... 这次我...
  • friendan
  • friendan
  • 2012年05月23日 21:56
  • 8123

内存监视工具,可以监视指定进程的内存读写操作

  • 2010年05月28日 23:48
  • 607KB
  • 下载

读取其他进程的内存-让程序提升Debug权限

最近一直忙着写毕业论文,但对于我这种没语言天赋的人,写写实际做的工作还可以,但要写课题背景、意义什么的,头都要大了,憋了两天才憋出两页的绪论,我容易吗我。。。 所以这半个月也没时间更新博客,现在论文...
  • lonelyrains
  • lonelyrains
  • 2016年07月04日 17:06
  • 1543

真正可用的获取任意进程的内存使用率 和任务管理器一模一样

void PrintMemCpuInfo() { printf("是否显示每个进程内存和cpu信息(Y/N):"); int cChar = getch(); if...
  • v2x222
  • v2x222
  • 2016年06月29日 17:25
  • 2166

另一种读写进程内存空间的方法

丢一个比较难防的读写其他进程内存空间的方法出来,嘿嘿。貌似我还没想到什么好办法可以防住的。 内存空间不能跨进程访问的原因主要在于不同进程都有自己的页目录和页表。进程切换的很大一块也就是切换掉页...
  • cosmoslife
  • cosmoslife
  • 2012年07月14日 12:57
  • 863

从内存中访问数据的过程

本文假定你有一定的计算机组成原理和操作系统方面的知识,这里说的尽量简洁清晰一些,然后要再结合一个例子来具体走一下。   首先要明确,想要从内存中取数据要分两步:1.获得数据在内存的物理地址 2.从内...
  • houyanlin1
  • houyanlin1
  • 2015年03月03日 21:05
  • 876

理解进程内存

目录[-] #从虚拟内存到物理内存 top:进程统计 显而易见的列 共享内存 数据 SWAP pmap:详细映射信息 基本内容 ## 扩展内容 更多? 原文地...
  • zdy0_2004
  • zdy0_2004
  • 2016年03月05日 21:04
  • 1285
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:如何访问一个进程的内存空间
举报原因:
原因补充:

(最多只允许输入30个字)