C/C++ 扫描特定进程内存状态

最新推荐文章于 2022-03-03 19:59:41 发布
最新推荐文章于 2022-03-03 19:59:41 发布
阅读量908 收藏 9
点赞数 2
分类专栏: C++ 文章标签: c++ c语言
原文链接:https://www.cnblogs.com/LyShark/p/13707084.html
版权

C/C++ 扫描特定进程内存状态
扫描内存分页情况:

#include <iostream>
#include <windows.h>

VOID ScanMemory(HANDLE hProc)
{
	SIZE_T stSize = 0;
	PBYTE pAddress = (PBYTE)0;
	SYSTEM_INFO sysinfo;
	MEMORY_BASIC_INFORMATION mbi = { 0 };

	//获取页的大小
	ZeroMemory(&sysinfo, sizeof(SYSTEM_INFO));
	GetSystemInfo(&sysinfo);

	// 得到的镜像基地址
	pAddress = (PBYTE)sysinfo.lpMinimumApplicationAddress;

	// 判断只要当前地址小于最大地址就循环
	while (pAddress < (PBYTE)sysinfo.lpMaximumApplicationAddress)
	{
		ZeroMemory(&mbi, sizeof(MEMORY_BASIC_INFORMATION));
		stSize = VirtualQueryEx(hProc, pAddress, &mbi, sizeof(MEMORY_BASIC_INFORMATION));

		if (stSize == 0)
		{
			pAddress += sysinfo.dwPageSize;
			continue;
		}

		printf("开始地址: 0x%08X \t 结束地址: 0x%08X \t 大小: %10d K \t 状态: ", mbi.BaseAddress,
		((DWORD)mbi.BaseAddress + (DWORD)mbi.RegionSize),mbi.RegionSize>>10);
		switch (mbi.State)
		{
			case MEM_FREE: printf("空闲 \n"); break;
			case MEM_RESERVE: printf("保留 \n"); break;
			case MEM_COMMIT: printf("提交 \n"); break;
			default: printf("未知 \n"); break;
		}
		// 每次循环累加内存块的位置
		pAddress = (PBYTE)mbi.BaseAddress + mbi.RegionSize;
	}
}

int main(int argc, char* argv[])
{
	HANDLE hProc = OpenProcess(PROCESS_ALL_ACCESS, FALSE, GetCurrentProcessId());
	ScanMemory(hProc);
	return 0;
}

在这里插入图片描述

枚举自身进程内存权限: 枚举出自身内存的内存分配权限.

#include <stdio.h>
#include <ShlObj.h>
#include <Windows.h>

void ScanMemoryAttribute()
{
	DWORD Addres = 0, Size = 0;
	MEMORY_BASIC_INFORMATION Basicinfo = {};

	// 遍历进程所有分页, 输出内容
	while (VirtualQuery((LPCVOID)Addres, &Basicinfo, sizeof(MEMORY_BASIC_INFORMATION)))
	{
		Size = Basicinfo.RegionSize;
		printf("地址: %08p 类型: %7d 大小: %7d 状态: ", Basicinfo.BaseAddress,Basicinfo.Type,Basicinfo.RegionSize);
		switch (Basicinfo.State)
		{
		case MEM_FREE:      printf("空闲 \n"); break;
		case MEM_RESERVE:   printf("保留 \n"); break;
		case MEM_COMMIT:    printf("提交 \n"); break;
		default: printf("未知 \n"); break;
		}

		// 如果是提交状态的内存区域,那么遍历所有块中的信息
		if (Basicinfo.State == MEM_COMMIT)
		{
			// 遍历所有基址是 Address
			LPVOID BaseBlockAddress = (LPVOID)Addres;
			DWORD BlockAddress = Addres;
			DWORD dwBlockSize = 0;
			// 遍历大内存块中的小内存块
			while (VirtualQuery((LPVOID)BlockAddress, &Basicinfo, sizeof(Basicinfo)))
			{
				if (BaseBlockAddress != Basicinfo.AllocationBase)
				{
					break;
				}
				printf("--> %08X", BlockAddress);
				// 查看内存状态,映射方式
				switch (Basicinfo.Type)
				{
				case MEM_PRIVATE:   printf("私有  "); break;
				case MEM_MAPPED:    printf("映射  "); break;
				case MEM_IMAGE:     printf("镜像  "); break;
				default: printf("未知  "); break;
				}

				if (Basicinfo.Protect == 0)
					printf("---");
				else if (Basicinfo.Protect & PAGE_EXECUTE)
					printf("E--");
				else if (Basicinfo.Protect & PAGE_EXECUTE_READ)
					printf("ER-");
				else if (Basicinfo.Protect & PAGE_EXECUTE_READWRITE)
					printf("ERW");
				else if (Basicinfo.Protect & PAGE_READONLY)
					printf("-R-");
				else if (Basicinfo.Protect & PAGE_READWRITE)
					printf("-RW");
				else if (Basicinfo.Protect & PAGE_WRITECOPY)
					printf("WCOPY");
				else if (Basicinfo.Protect & PAGE_EXECUTE_WRITECOPY)
					printf("EWCOPY");
				printf("\n");

				// 计算所有相同块大小
				dwBlockSize += Basicinfo.RegionSize;
				// 累加内存块的位置
				BlockAddress += Basicinfo.RegionSize;
			}
			// 内有可能大小位空
			Size = dwBlockSize ? dwBlockSize : Basicinfo.RegionSize;
		}
		// 下一个区域内存信息
		Addres += Size;
	}
}

int main(int argc, char * argv[])
{
	ScanMemoryAttribute();
	system("pause");
	return 0;
}

在这里插入图片描述

枚举大内存块:

#include <iostream>
#include <windows.h>
#include <Psapi.h>
#pragma comment(lib,"psapi.lib")

VOID ScanProcessMemory(HANDLE hProc)
{
	SIZE_T stSize = 0;
	PBYTE pAddress = (PBYTE)0;
	SYSTEM_INFO sysinfo;
	MEMORY_BASIC_INFORMATION mbi = { 0 };

	//获取页的大小
	ZeroMemory(&sysinfo, sizeof(SYSTEM_INFO));
	GetSystemInfo(&sysinfo);

	// 得到的镜像基地址
	pAddress = (PBYTE)sysinfo.lpMinimumApplicationAddress;

	printf("------------------------------------------------------------------------ \n");
	printf("开始地址 \t 结束地址 \t\t 大小 \t 状态 \t 内存类型 \n");
	printf("------------------------------------------------------------------------ \n");
	// 判断只要当前地址小于最大地址就循环
	while (pAddress < (PBYTE)sysinfo.lpMaximumApplicationAddress)
	{
		ZeroMemory(&mbi, sizeof(MEMORY_BASIC_INFORMATION));
		stSize = VirtualQueryEx(hProc, pAddress, &mbi, sizeof(MEMORY_BASIC_INFORMATION));

		if (stSize == 0)
		{
			pAddress += sysinfo.dwPageSize;
			continue;
		}
		printf("0x%08X \t 0x%08X \t %8d K \t ", mbi.BaseAddress,
		((DWORD)mbi.BaseAddress + (DWORD)mbi.RegionSize),mbi.RegionSize>>10);
		switch (mbi.State)
		{
			case MEM_FREE: printf("空闲 \t"); break;
			case MEM_RESERVE: printf("保留 \t"); break;
			case MEM_COMMIT: printf("提交 \t"); break;
			default: printf("未知 \t"); break;
		}

		switch (mbi.Type)
		{
			case MEM_PRIVATE:   printf("私有  \t"); break;
			case MEM_MAPPED:    printf("映射  \t"); break;
			case MEM_IMAGE:     printf("镜像  \t"); break;
			default: printf("未知  \t"); break;
		}

		if (mbi.Protect == 0)
			printf("---");
		else if (mbi.Protect & PAGE_EXECUTE)
			printf("E--");
		else if (mbi.Protect & PAGE_EXECUTE_READ)
			printf("ER-");
		else if (mbi.Protect & PAGE_EXECUTE_READWRITE)
			printf("ERW");
		else if (mbi.Protect & PAGE_READONLY)
			printf("-R-");
		else if (mbi.Protect & PAGE_READWRITE)
			printf("-RW");
		else if (mbi.Protect & PAGE_WRITECOPY)
			printf("WCOPY");
		else if (mbi.Protect & PAGE_EXECUTE_WRITECOPY)
			printf("EWCOPY");
		printf("\n");

		// 每次循环累加内存块的位置
		pAddress = (PBYTE)mbi.BaseAddress + mbi.RegionSize;
	}
}

int main(int argc, char* argv[])
{
	HANDLE hProc = OpenProcess(PROCESS_ALL_ACCESS, FALSE, GetCurrentProcessId());
	ScanProcessMemory(hProc);
	CloseHandle(hProc);

	system("pause");
	return 0;
}

在这里插入图片描述

另一种扫描方式: 以下这段代码来源于网络,仅用于收藏。

#include <iostream>
#include <windows.h>
#include <TCHAR.H>

// 显示一个进程的内存状态 dwPID为进程ID
BOOL ShowProcMemInfo(DWORD dwPID)
{
	HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION,FALSE,dwPID);
	if (hProcess == NULL)
		return FALSE;

	MEMORY_BASIC_INFORMATION mbi;
	PBYTE pAddress = NULL;
	TCHAR szInfo[200] = _T("BaseAddr Size Type State Protect \n");
	_tprintf(szInfo);
	while (TRUE)
	{
		if (VirtualQueryEx(hProcess, pAddress, &mbi, sizeof(mbi)) != sizeof(mbi))
			break;

		if ((mbi.AllocationBase != mbi.BaseAddress) && (mbi.State != MEM_FREE))
			_stprintf(szInfo, _T(" %08X %8dK "),mbi.BaseAddress,mbi.RegionSize >> 10);
		else
			_stprintf(szInfo, _T("%08X %8dK "),mbi.BaseAddress,mbi.RegionSize >> 10);

		LPCTSTR pStr = _T("");
		switch (mbi.Type)
		{
			case MEM_IMAGE: pStr = _T("MEM_IMAGE "); break;
			case MEM_MAPPED: pStr = _T("MEM_MAPPED "); break;
			case MEM_PRIVATE: pStr = _T("MEM_PRIVATE"); break;
			default: pStr = _T("-----------"); break;
		}
		_tcscat(szInfo, pStr);
		_tcscat(szInfo, _T(" "));
		switch (mbi.State)
		{
			case MEM_COMMIT: pStr = _T("MEM_COMMIT "); break;
			case MEM_RESERVE: pStr = _T("MEM_RESERVE"); break;
			case MEM_FREE: pStr = _T("MEM_FREE "); break;
			default: pStr = _T("-----------"); break;
		}
		_tcscat(szInfo, pStr);
		_tcscat(szInfo, _T(" "));
		switch (mbi.AllocationProtect)
		{
			case PAGE_READONLY: pStr = _T("PAGE_READONLY "); break;
			case PAGE_READWRITE: pStr = _T("PAGE_READWRITE "); break;
			case PAGE_WRITECOPY: pStr = _T("PAGE_WRITECOPY "); break;
			case PAGE_EXECUTE: pStr = _T("PAGE_EXECUTE "); break;
			case PAGE_EXECUTE_READ: pStr = _T("PAGE_EXECUTE_READ "); break;
			case PAGE_EXECUTE_READWRITE: pStr = _T("PAGE_EXECUTE_READWRITE"); break;
			case PAGE_EXECUTE_WRITECOPY: pStr = _T("PAGE_EXECUTE_WRITECOPY"); break;
			case PAGE_GUARD: pStr = _T("PAGE_GUARD "); break;
			case PAGE_NOACCESS: pStr = _T("PAGE_NOACCESS "); break;
			case PAGE_NOCACHE: pStr = _T("PAGE_NOCACHE "); break;
			default: pStr = _T("----------------------"); break;
		}
		_tcscat(szInfo, pStr);
		_tcscat(szInfo, _T("\n"));
		_tprintf(szInfo);
		pAddress = ((PBYTE)mbi.BaseAddress + mbi.RegionSize);
	}
	CloseHandle(hProcess);
	return TRUE;
}

int main(int argc, char* argv[])
{
	ShowProcMemInfo(3620);
	system("pause");
	return 0;
}

著作权归LyShark所有

作者:lyshark

源地址:https://www.cnblogs.com/LyShark/p/13707084.html

搬砖带头大哥
关注
专栏目录
C++模仿CE工具快速内存搜索——(Sunday算法)
追逐光芒,追随内心
10-03 2321
2、跨进程读取内存:ReadProcessMemory。1、查看内存块信息:VirtualQueryEx。可以看出Cheat Engine内存搜索的核心逻辑是。3、通过“字符串模式匹配算法”进行比较定位。
VC++信息安全编程(8)实现扫描内存,实现内存读写
尹成的技术博客
12-15 5699
扫描内存,实现内存读写是杀毒软件必备的功能,这个功能如何实现呢,请见代码实现与分析调用美国大牛写的PSAPI.DLL #include "stdafx.h" #include "DoProcess.h" #include "DoProcessDlg.h" #ifdef _DEBUG #define new DEBUG_NEW #undef THIS_FILE static char THIS_F
C/C++ 遍历进程内存
热门推荐
CSDN
07-16 1万+
它使用了Windows API函数来遍历指定进程的所有内存块,并输出每个内存块的相关信息。该代码可以帮助了解目标进程内存布局,以及各个内存块的属性。的函数,用于枚举指定进程的所有内存块。该代码使用Windows API函数实现了遍历指定进程内存块的功能,并输出了每个内存块的地址、大小和保护属性等信息。使用循环遍历内存块的向量,并输出每个内存块的相关信息,包括基地址、分配基地址、内存块大小、内存状态内存保护属性等。在主函数中,创建了一个进程快照句柄,用于获取当前系统中的进程信息。
C++得到当前进程所占用的内存
lionzl的专栏
12-26 882
C++得到当前进程所占用的内存 分类: 内存检测2013-12-23 14:11 12人阅读 评论(0) 收藏 举报 使用SDK的PSAPI (Process Status Helper) 中的 [cpp] view plaincopy BOOL GetProcessMemoryInfo(     HANDLE Proce
C++进程内存结构
HayPinF的博客
07-26 175
参考https://www.cnblogs.com/skullboyer/p/10979704.html https://www.cnblogs.com/laojie4321/p/4405069.html class T{ public: static int cls_field; int field1 = 3; // 类内初始值,编译时初始化,data T(){ // field1 = 5; } }; int T::cls_field
c语言编写查看内存的程序,如何用c实现,查找某个程序的内存首地址?
weixin_35513122的博客
05-17 548
该楼层疑似违规已被系统折叠隐藏此楼查看此楼[原创]如何找到程序的main函数的入口. 2008-02-09 20:14 [原创文章]转载请说明出处. 我们在刚用OllyDbg的时候, 因为程序在运行前会进行一些准备工作,比如申请全局变量空间等等,所以一开始可能不知道如何定位到函数的main函数.这里我通过查资料和自己实验总结了一下找到main函数的方法. 一.对于windows下的窗口程序.wi...
KeyBoardHijack.zip_Windows编程_C/C++__Windows编程_C/C++_
08-09
3. **键盘事件结构**: 当处理键盘事件时,通常会涉及到如KBDLLHOOKSTRUCT这样的结构体,它包含了关于按键事件的信息,如虚拟键码、扫描码、按键状态等。开发者需要理解这些参数的含义,以便正确解析键盘输入。 4. *...
anjian.rar_C/C++_
08-12
描述中的“巧妙地按键扫描”暗示了这个压缩包可能包含了一个C或C++编程相关的项目,该项目可能涉及到了键盘输入的处理,尤其是通过某种创新或高效的方法来实现。在编程中,键盘扫描通常指的是程序捕获用户在键盘上按...
模拟键盘消息.rar_Windows编程_C/C++_
08-10
每个输入事件包含设备类型、状态(按下或释放)以及设备特定的数据,例如键盘的虚拟键码。 3. **虚拟键码**:在Windows中,键盘按键与虚拟键码(Virtual Key Codes,如`VK_A`、`VK_B`等)对应。当我们模拟键盘输入...
C/C++程序员面试宝典.梁镇宇.扫描
07-07
这本书不仅包含了C/C++语言的基础知识,还深入探讨了算法、数据结构、操作系统、计算机网络等核心领域,以及如何解决实际编程中的常见问题,如内存管理、线程同步、异常处理等。 ### C/C++基础知识 #### 1. 数据...
VC++ 内存扫描内存数据读写.rar
04-08
VC++ 内存扫描内存数据读写
visual c++ vc 内存修改器 动态修改内存 修改其它进程内存值,写游戏修改器用.zip
04-05
5. **游戏修改器**:游戏修改器通常包含内存扫描功能,搜索特定值或模式,然后修改找到的内存地址。这些工具可以帮助玩家快速提升游戏体验,但也可能导致不公平竞争,所以一些游戏对此进行反作弊保护。 6. **文件...
C++ 进程内存管理和布局
t782665933的博客
05-16 442
堆,栈,全局/静态存储区,常量存储区 一个C++程序,大致可以划分为以上几个存储区 为什么不算上自由存储区? 只有存储区是站在C++层面上的存储区,通过new分配,delete释放 堆是站在操作系统和C层面上的存储区,通过malloc分配,free释放 事实上,他们分配的内存在大多数时候是同一块存储区,只是不同层面不同表示。 原因如下: new关键字的执行分为:分配内存,构造对象,两步。 在第一步...
二、C++反作弊对抗实战 (进阶篇 —— 4.遍历进程模块(暴力扫描整个内存找出被断链的))
Koma的主页
03-03 1063
提示:以下是本篇文章正文内容,下面案例可供参考 一、前言 由于上一章节中的MsgBox已经被抹去PE头、断链隐藏了DLL,导致将无法正常遍历出当前进程的所有模块,这时候就需要用到暴力内存的方法了。因为断链这种方法只能欺骗常规的CreateToolhelp32Snapshot、Module32First、Module32Next三个遍历函数,而当我们真正使用暴力扫描内存的方法后,这个”隐藏“的MsgBox.dll一样能被扫描出来。 这里我们得用前面章节介绍的Native API ZwQueryVi...
C++进程内存分布
田一一
07-28 1052
(1)C++进程内存分布 1、内存分布分为五部分,从高地址到低地址依次为:栈、堆、未初始化的数据段(bss)、初始化的数据段、代码段 2、栈地址空间向下、堆地址空间向上 3、代码段(text):存放程序的二进制代码 4、初始化的数据(Data):它包含有程序员初始化的全局变量和静态变量, 5、未初始化的数据段(bss):这个段的数据在程序开始之前由内核初始化为0,包含所有初始化为0和没有显示初始化的全局变量和静态变量 6、堆:堆是动态内存分配通常发生的部分,其地址分配由低到高 7、栈:存放自动变量,以及每
C/C++进程内存分布
醉如泥的博客
10-30 1097
一、进程内存分布图: 二、简单说明: 代码区(.text):也称文本段(Text Segment),存放着程序的机器码和只读数据(常量),可执行指令就是从这里取得的。如果可能,系统会安排好相同程序的多个运行实体共享这些实例代码。这个段在内存中一般被标记为只读,任何对该区的写操作都会导致段错误(Segmenta...
C++检测内存
weixin_44594953的博客
03-02 86
1、在这里下载libunwind http://mirror.yongbok.net/nongnu/libunwind/ ./configure make sudo make install(如果这步有问题,make -j8 ,sudo make install) 2、安装一个可是化工具 sudo apt-get install graphviz 3、git官网下载gperftools 安装包 ./autogen.sh ./configure make sudo make install https:
c\c++ 进程内存分布详解
qq_44804546的博客
07-04 511
首先理论知识 一个程序调用的内存主要被划分为4个区域,分别是栈区,堆区,数据区,代码区 首先来讲讲栈区: 栈区采用先进后出的数据结构 自动局部变量、自动函数形参的内存空间都来自这个区域 而这个内存空间是在执行到变量定义语句才分配的,如果分配失败程序就崩溃了 而栈区的大小是受系统限制的,所以递归没有出口时就会一直占用栈区内存空间,直到栈区空间占满,造成栈溢出,使程序崩溃,所以递归效率低 一次隶属复...
Windows平台下C/C++的网络安全编程实践
- 定时器编程:C/C++可以创建定时器,用于设定特定时间间隔后执行某些任务,这在网络安全监控、日志记录或自动响应等方面非常实用。 - 驻留程序编程:驻留程序能够在系统启动时自动运行,常用于持续监控网络状态或...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值