用汇编语言编写内存修改器

Windows汇编程序

在编写不使用图形界面(或使用简单的图形界面)的32 位Windows应用程序时，使用汇编语言会使程序简单、快捷，并且这类程序生成的可执行文件比较小(一般不超过10K)，执行速度快，无需安装即可运行。在Windows环境中，汇编语言的编程方式与C语言类似，要调用Windows API。在汇编语言中调用API函数使用call 指令，并且函数的参数使用Push指令先入堆栈，这步工作在masm32v6中可以由invoke 宏指令自动完成。函数的返回值由eax寄存器返回。

例如MessageBox函数的声明如下：

int MessageBox(HWND h1 , LPCTSTR lp1 , LPCTSTR lp2 , UINT u1 );

则其汇编调用如下：

invoke MessageBox,h1,lp1,lp2,u1

其中参数入栈、检查等工作，由invoke宏指令自动完成。

一个简单的Win 32程序如下：

.386

.model flat, stdcall ;使用32位平坦存储模式

option casemap :none ;区分大小写字母

include /MASM32/INCLUDE/windows.inc

include /MASM32/INCLUDE/kernel32.inc

includelib /MASM32/LIB/kernel32.lib

.code

start:

invoke ExitProcess,0

end start

以上程序与一个DOS下的汇编程序类似，其中语句“invoke ExitProcess,0”相当于DOS下的 int 20H或mov ah,04cH/int 21h，即结束程序并返回。这个框架程序并没有完成什么具体的功能，程序运行后马上返回，并在其运行期间不生成窗口。

实现内存修改器

对上述程序添加语句，就可以使其成为一个真正能用的内存修改器。以修改Windows附件中计算器程序为例，如要修改计算器程序虚拟内存地址40b181H的值为1234H（在运行修改器程序进行修改前，应先运行计算器程序）。

首先为程序添加一个数据段。在 .code 前加上以下语句：

.data

ProcessId dd ? ;进程ID

windowname db “计算器”,0 ;窗口程序名

writeaddr dd 40b181H ;写入的地址

writedate dd 1234H ;写入的数据

然后在start: 后添加以下语句：

invoke FindWindow,NULL,addr windowname

invoke GetWindowThreadProcessId,eax,addr

ProcessId

invoke OpenProcess,PROCESS_ALL_ACCESS, FALSE, ProcessId

invoke WriteProcessMemory,eax,writeaddr,

addr writedate, 4, 0

invoke ExitProcess,0

在上述代码中，首先使用 FindWindow 函数取得目标窗口的句柄，其中addr windowname是目标窗口名称（字符串）在内存中的开始地址，字符串以0结束。窗口句柄由eax返回。如果eax=0表示函数出错，其他值表示取得的目标窗口句柄。使用GetWindowThreadProcessId 函数，通过窗口句柄eax取得进程标识符ProcessId。同样，如果函数返回eax=0表示函数出错，其他值表示成功取得ProcessId。利用OpenProcess 函数，从进程标识符ProcessId得到计算器程序的进程句柄。其中PROCESS_ALL_ACCESS表示拥有所有权限，参数FALSE是固定的。同样，句柄由eax返回，如果eax=0表示函数出错，其他值表示取得目标进程句柄。

然后用WriteProcessMemory 函数修改内存，调用方法如下：

invoke WriteProcessMemory,eax,writeaddr, addr writedate, 4, 0

其参数的含义如下：

●eax：从OpenProcess 函数中取得的目标进程的句柄；

●writeaddr ：计算器程序的虚拟内存中将要被修改的地址；

●addr writedate ：将要写入上述地址的数据开始的地址；

●4 ：希望写入addr writedate地址的字节数；

●0 ：函数执行返回后，写入目标地址的实际字节数，能被用来确认函数实际的执行情况，这里用0填入。

该函数返回eax，如果eax=0表示函数出错。

最后调用ExitProcess函数结束程序，返回0值给操作系统。

编辑好上述代码存盘后，用masm32v6中的编译、连接命令生成执行文件。该执行文件可以在Windows 95/98/Me中执行，并完成内存修改。由于Windows NT的内存管理方式与Windows 98等不同，所以在Windows NT中该程序可以执行，但不能修改内存。

编译：

ML /c /coff 文件名.asm

连接：

LINK /SUBSYSTEM:WINDOWS 文件名.obj

内存修改器的改进

上述程序虽然可以执行，但是缺乏交互性和通用性，这可以从以下两个方面进行改进。

1.改进程序执行后无论是否修改了内存或者产生了其他错误，都没有任何提示的问题。要增强交互性，可对每个函数执行后返回的eax值作检查，若eax=0，则产生对话框向用户提示错误，并返回操作系统。

为了能产生出错提示，在数据段增加以下定义：

text1 db “提示！”,0 ;对话框的标题

text2 db “目标程序未运行！“,0

text3 db “不能获得目标进程句柄！”,0

text4 db “不能打开目标进程！”,0

text5 db “未能修改目标内存！”,0

text6 db “命令格式：程序名 窗口名 欲修改地址 新值”,0

使用MessageBox函数弹出对话框，向用户提示出错信息：

invoke FindWindow,NULL,windowname

.if eax==0

invoke MessageBox,NULL,addr text2,addr text1,MB_OK

invoke ExitProcess,1

.endif

2.改进缺乏通用性的问题。以上修改器程序若要修改另外一个窗口程序的内存，则需对源程序数据段中的windowname、writeaddr、writedate进行修改，重新赋予初值，以适应另一窗口程序，然后重新编译、连接才能实现。如果内存修改器带有参数，就可提高程序的通用性。格式如下：

执行程序名 参数1 参数2 参数3

执行程序名 窗口程序名 要修改的地址 新值

要获得命令行参数，可以在数据段定义一个变量，用来存放命令行参数在虚拟内存中存放的开始地址。在代码段的开始（start:标识符后）插入以下语句获得命令行参数的首址。

invoke GetCommandLine

mov CommandLine, eax

获得命令行参数首址后，对命令行参数进行分析，分离出参数1、参数2、参数3，然后将分离出的参数送到数据段的相应变量中即可。

小结

本文只是简单介绍了用汇编语言编写Windows程序的方法。一个完整的内存修改器应包含内存搜索功能和尽可能高的搜索效率和准确度。内存搜索功能可以利用具有读内存功能的API函数ReadProcessMemory，通过一个循环结构完成。但提高搜索效率和准确度需要丰富的编程经验和技巧才能实现。