内存读取

最新推荐文章于 2023-11-15 08:00:00 发布
最新推荐文章于 2023-11-15 08:00:00 发布
阅读量626 收藏
点赞数
分类专栏: Delphi
在WIN32中,每个应用程序都可“看见”4GB的线性地址空间,其中最开始的4MB和最后的2GB由操作系统保留,剩下不足2GB的空间用于应用程序私有空间。
具体分配如下:
0xFFFFFFFF-0xC0000000的1GB用于VxD、存储器管理和文件系统;
0xBFFFFFFF-0x80000000的1GB用于共享的WIN32 DLL、存储器映射文件和共享存储区;
0x7FFFFFFF-0x00400000为每个进程的WIN32专用地址;
0x003FFFFF-0x00001000为MS-DOS 和 WIN16应用程序;
0x00000FFF-0x00000000为防止使用空指针的4,096字节。
以上都是指逻辑地址,也就是虚拟内存。 
虚拟内存通常是由固定大小的块来实现的,在WIN32中这些块称为“页”,每页大小为4,096字节。
在 Intel CPU结构中,通过在一个控制寄存器中设置一位来启用分页。
启用分页时CPU并不能直接访问内存,对每个地址要经过一个映射进程,通过一系列称作“页表”的查找表把虚拟内存地址映射成实际内存地址。
通过使用硬件地址映射和页表WIN32可使虚拟内存即有好的性能而且还提供保护。
利用处理器的页映射能力,操作系统为每个进程提供独立的从逻辑地址到物理地址的映射,
使每个进程的地址空间对另一个进程完全不可见。WIN32中也提供了一些访问进程内存空间的函数,但使用时要谨慎,一不小心就有可能破坏被访问的进程。
本文介绍如何读另一个进程的内存,写内存与之相似,完善一下你也可以做个 FPE 之类的内存修改工具。好吧,先准备好编程利器Delphi 和 参考手册 MSDN ,Now begin 
{=============================================} 
{=============的到进程的ID=====================} 
{=============================================} 
function TReadMemory.GetProcessInfo: TList; 
var 
ProcessInfoList : TList; 
ProcessInfo : PProcessInfo; 
hSnapShot : THandle; 
mProcessEntry32 : TProcessEntry32; 
bFound : Boolean; 
begin 
ProcessInfoList:=TList.Create; 
ProcessInfoList.Clear; 
hSnapShot := CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); 
mProcessEntry32.dwSize := Sizeof(mProcessEntry32); 
bFound := Process32First(hSnapShot, mProcessEntry32); 
while bFound do 
begin 
New(ProcessInfo); 
ProcessInfo.ProcessExe := mProcessEntry32.szExeFile; 
ProcessInfo.ProcessId := mProcessEntry32.th32ProcessID; 
ProcessInfoList.Add(ProcessInfo); 
bFound := Process32Next(hSnapShot, mProcessEntry32); 
end; 
Result := ProcessInfoList; 
end; 
本文来自Delphi之窗,原文地址:http://www.52delphi.com






这里用到 
1:CreateToolhelp32Snapshot()创建系统快照句柄(hSnapShot是我们声明用来保存 
创建的快照句柄) 
2:Process32First、Process32Next是用来枚举进程 
{=============================================} 
{=============内存查找=========================} 
{=============================================} 
function TReadMemoryFrm.StartSearch: Boolean; 
var 
ProcHandle:Integer; 
begin 
Result:=False; 
ReadMemoryProgress.Position:=0; 
if Not CheckInput then Exit; 


if FileName=TabSheet1.Caption then //-------------搜索次数>1次 
begin 
PParameter.FirstSearch:=False; 
PParameter.Data:=StrToInt(EdtSearchData.Text); 
end else 
begin //------------------------------第一次搜索 
PParameter.FirstSearch:=True; 
if PParameter.ProcessHandle>0 then 
CloseHandle(PParameter.ProcessHandle); 
ProcHandle:=OpenProcess(PROCESS_ALL_ACCESS,false,StrToInt(EdtProcID.Text)); 
if ProcHandle>0 then 
begin 
PParameter.Data:=StrToInt(EdtSearchData.Text); 
Case DataType.ItemIndex of 
0:PParameter.DataType:=1; 
1:PParameter.DataType:=2; 
2:PParameter.DataType:=4; 
end; 
end else Exit; 
FileName:=TabSheet1.Caption; 
PParameter.ProcessHandle:=ProcHandle; 
end; 


SearchButton.Enabled:=False; 
ToolSearchMemory.Enabled:=False; 
MemoryAddrList.Clear; 
PReadMemory.StartSearch; 
Result:=True; 
end; 


1: 
HANDLE OpenProcess( 
DWORD dwDesiredAccess, // 希望获得的访问权限 
BOOL bInheritHandle, // 指明是否希望所获得的句柄可以继承 
DWORD dwProcessId // 要访问的进程ID 
); 


分析内存块 
//----------------------------------------------------分析内存块 
function TReadMemoryThread.GetMemoryRegion: Boolean; 
var 
TempStartAddress : DWord; 
TempEndAddress : DWord; 
I,J,k : Integer; 
NewMemoryRegions : array [0..40000] of TmemoryRegion; 
begin 
Result:=False; 
MemoryRegionsIndex := 0; 
TempStartAddress := 1*1024*1024; 
TempEndAddress := 2*1024*1024; 
TempEndAddress := TempEndAddress*1024; 
While (VirtualQueryEx(PParameter.ProcessHandle, 
pointer(TempStartAddress), 
MBI, 
sizeof(MBI))>0) and (TempStartAddress<TempEndAddress) do 
begin 
if (MBI.State=MEM_COMMIT) then 
begin 
if (MBI.Protect=PAGE_READWRITE) or 
(MBI.Protect=PAGE_WRITECOPY) or 
(MBI.Protect=PAGE_EXECUTE_READWRITE) or 
(MBI.Protect=PAGE_EXECUTE_WRITECOPY) 
then 
begin 
PMemoryRegion[MemoryRegionsIndex].BaseAddress:=Dword(MBI.BaseAddress); 
PMemoryRegion[MemoryRegionsIndex].MemorySize:=MBI.RegionSize; 
Inc(MemoryRegionsIndex); 
end; 
end; 
TempStartAddress:=Dword(MBI.BaseAddress)+MBI.RegionSize; 
end; 
if MemoryRegionsIndex=0 then Exit; 
//---------------------------------------------判断内存块是否过大 
J:=0; 
for i:=0 to MemoryRegionsIndex-1 do 
begin 
if PMemoryRegion[i].MemorySize>$FFFF then 
begin 
for K:=0 to PMemoryRegion[i].MemorySize div $FFFF do 
begin 
if K=PMemoryRegion[i].MemorySize div $FFFF+1 then 
begin 
NewMemoryRegions[j].BaseAddress:=PMemoryRegion[i].BaseAddress+K*$FFFF; 
NewMemoryRegions[j].MemorySize:=PMemoryRegion[i].MemorySize Mod $FFFF; 
end else 
begin 
NewMemoryRegions[j].BaseAddress:=PMemoryRegion[i].BaseAddress+K*$FFFF; 
NewMemoryRegions[j].MemorySize:=$FFFF; 
end; 
Inc(J); 
end; 
end else 
begin 
NewMemoryRegions[j].BaseAddress:=PMemoryRegion[i].BaseAddress; 
NewMemoryRegions[j].MemorySize:=PMemoryRegion[i].MemorySize; 
Inc(J); 
end; 
end; 
//---------------------------------------------------数据转换 
MemoryRegionsIndex:=j; 
for i:=0 to MemoryRegionsIndex-1 do 
begin 
PMemoryRegion[i].MemorySize:=NewMemoryRegions[i].MemorySize; 
PMemoryRegion[i].BaseAddress:=NewMemoryRegions[i].BaseAddress; 
end; 
Result:=True; 
end; 
1:查找的内存大小 
TempStartAddress := 1*1024*1024; 
TempEndAddress := 2*1024*1024; 
TempEndAddress := TempEndAddress*1024; 


2:VirtualQueryEx :查询地址空间中内存地址的信息。 
参数: 
hProcess 进程句柄。 
LpAddress 查询内存的地址。 
LpBuffer 指向MEMORY_BASIC_INFORMATION结构的指针,用于接收内存信息。 
DwLength MEMORY_BASIC_INFORMATION结构的大小。 
本文来自Delphi之窗,原文地址:http://www.52delphi.com






返回值: 
函数写入lpBuffer的字节数,如果不等于sizeof(MEMORY_BASIC_INFORMATION)表示失败。  
{=============================================} 
{=============开始查找=========================} 
{=============================================} 
procedure TReadMemoryThread.Execute; 
var 
//StopAddr,StartAddr:Dword; 
BeginTime,EndTime:String; 
I:Integer; 
begin 
inherited; 
while Not Terminated do 
begin 
AddrCount := 0; 
if PParameter.FirstSearch then 
begin 
if Not GetMemoryRegion then Exit; 
GetMaxMemoryRange; 
GetMinMemoryRange; 
SendMessage(APPHandle,WM_READMEMORY,RM_MAXPROGRESS,MemoryRegionsIndex); 
BeginTime:=FloatToStr(CPUTimeCounterQPC); 
for I:=0 to MemoryRegionsIndex-1 do 
begin 
FirstCheckMemory(PMemoryRegion[i].BaseAddress,PMemoryRegion[i].MemorySize); 
end; 
EndTime:=FloatToStr(CPUTimeCounterQPC); 
SendMessage(APPHandle, 
WM_READMEMORY, 
RM_USETIME, 
StrToInt(Copy(EndTime,1,Pos('.',EndTime)-1))-StrToInt(Copy(BeginTime,1,Pos('.',BeginTime)-1))); 
SendMessage(APPHandle,WM_READMEMORY,RM_ADDRCOUNT,AddrCount); 
SendMessage(APPHandle,WM_READMEMORY,RM_FINISH,RM_FINISH); 
end else 
begin 
SendMessage(APPHandle,WM_READMEMORY,RM_MAXPROGRESS,100); 
BeginTime:=FloatToStr(CPUTimeCounterQPC); 
for i:=0 to High(PSearchAgain) do 
begin 
SecondCheckMemory(PSearchAgain[i].DataAddr); 
end; 
EndTime:=FloatToStr(CPUTimeCounterQPC); 
SendMessage(APPHandle, 
WM_READMEMORY, 
RM_USETIME, 
StrToInt(Copy(EndTime,1,Pos('.',EndTime)-1))-StrToInt(Copy(BeginTime,1,Pos('.',BeginTime)-1))); 
SendMessage(APPHandle,WM_READMEMORY,RM_ADDRCOUNT,AddrCount); 
SendMessage(APPHandle,WM_READMEMORY,RM_FINISH,RM_FINISH); 
end; 
Suspend; 
end; 
end;   


毛毛与球球
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内存读取
renzhe20092584的专栏
08-31 1099
把图片资源先放到内存中,然后从内存读取资源。 1.加到内存 2.从内存读取资源 精灵图片、九宫格图片、在plist文件里的图片 cc.Sprite.createWithSpriteFrameName("image"); cc.Scale9Sprite.createWithSpriteFrameName("image"); c
内存读写
落单的毛毛虫
03-18 701
#include #include #include #include #include HANDLE fnGetProcess() { HANDLE hShot=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); PROCESSENTRY32 myPro; myPro.dwSize=sizeof(myPro); Process3
计算机系统-理论-内存读取/大端法小端法
文天大人
06-21 1719
怀念二抱三抱 顺序 关键字 1 SELECT 2 FROM 3 WHERE 4 GROUP BY 5 HAVING 6 ORDER BY
仿外.挂之读取内存数据...
weixin_34210740的博客
05-23 710
呵呵,花了两天的时间,从找基址到理解内存,终于完成了内存数据的读取工作... 写完这个小程序,我基本上掌握了外挂的制作技术了... 在此将心得体会写下来,留着以后复习用... 这次我拿来练手的小程序是:扫雷小鱼儿,程序截图如下, 读取时间效果截图如下: 扫雷小鱼儿下载地址为:http://download.csdn.net/download/frien...
【汇编】内存的读写与地址空间、寄存器及数据存储
最新发布
m0_62599305的博客
11-15 2454
在计算机体系结构中,内存的读写操作是一项关键任务,涉及到程序的执行、数据的存储和处理。同时,理解地址空间的概念对于编写有效的程序至关重要。本文将探讨汇编语言中的内存读写过程以及地址空间的概念,帮助读者更深入地理解计算机内部的运作机制。内存的读写与地址空间是计算机体系结构中的核心概念。通过汇编语言,程序可以直接操作内存,实现对数据的灵活控制。地址空间的概念则为程序提供了一个有序的内存结构,使得不同部分的数据有序地存储在内存中。深入理解这些概念,有助于程序员编写出更高效、可靠的程序,充分利用计算机的内存资源。
文件流(文件操作)文件在内存中的读取
weixin_61725973的博客
10-27 1898
文件的操作
内存读取查看修改小工具
04-21
可用于 查找CS软件一些网络链接信息
分享C#操作内存读写方法的主要实现代码
09-05
在提供的代码中,这些方法被用来实现各种类型(byte、char、short、int、uint、long、ulong)的内存读取。 2. `Marshal.Copy(IntPtr source, byte[] destination, int startIndex, int length)` 此方法用于将内存...
易语言x64内存读写支持库3.0.zip
09-20
易语言x64内存读写支持库3.0是一个专为易语言设计的扩展库,旨在帮助程序员在64位环境下实现对内存的高效读写操作。易语言是一款以中文编程为特色的编程环境,它降低了编程的技术门槛,使得更多的人能够参与到程序...
好用的内存读取工具CE
12-05
好用的内存读取工具CE,非常强大,操作系统,游戏外挂必备
读写内存模块(可读写内存)
02-05
读写内存模块,可读写内存,进制转换。部分功能转自其他模块。请勿私自转入模块。
电脑程序内存读取工具
02-15
电脑程序内存读取工具。可以读取电脑中正在运行的程序,即加载在内存中的程序的数据。便于调试或其它用途
易语言对64位程序内存读写操作纯模块源码
05-27
这个模块源码的核心是实现64位内存地址的读取和写入。在易语言中,这通常涉及使用底层API调用,如Windows API中的`ReadProcessMemory`和`WriteProcessMemory`函数。这些函数允许一个进程访问另一个进程的内存,实现...
C 共享内存读写 2个程序之间传输数据
12-29
下面将详细阐述C语言中使用共享内存进行读写操作以及在两个程序间传输数据的原理和步骤。 首先,让我们理解共享内存的基本概念。共享内存是一种特殊的内存映射文件,它可以被多个进程同时访问。在Linux中,我们可以...
游戏外挂内存数据读取
xqqing79的专栏
09-18 3476
源地址:http://hi.baidu.com/probill/blog/item/1d07d11efbd641f01ad576f3.html网络游戏.每一个数据比如你的血值.MP 值.怪的血值..在内存中是以16进制的形式存放的.而显示给我们看的是10进制的形式显示的,,[16进制转就是123456789ABCDEF,好比 十进制的0123456789,逢16进1,十进制是逢十进1,不想算可以用...
如何读取内存的数据?(转)
weixin_30555753的博客
10-06 936
如何访问一个进程的内存空间 ---- 在WIN32中,每个应用程序都可“看见”4GB的线性地址空间,其中最开始的4MB和最后的2GB由操作系统保留,剩下不足2GB的空间用于应用程序私 有空间。具体分配如下:0xFFFFFFFF-0xC0000000的1GB用于VxD、存储器管理和文件系统;0xBFFFFFFF- 0x80000000的1GB用于共享的WIN32 DLL、...
内存读写源码
05-29
内存读取: ```c // 从地址为ptr的内存读取一个int类型的数据 int read_int(const int* ptr) { return *ptr; } // 从地址为ptr的内存读取一个double类型的数据 double read_double(const double* ptr) { ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值