搜索内存数据(三)

最新推荐文章于 2022-07-10 23:33:20 发布
最新推荐文章于 2022-07-10 23:33:20 发布
阅读量1.2k 收藏
点赞数
分类专栏: vb.net and vb 文章标签: basic path query string api
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ssihc0/article/details/3207292
版权
 
  2. Option Base 1
  3. Option Explicit
  5. Private Declare Function GetCurrentProcessId Lib "kernel32" () As Long
  6. Private Const PAGE_READWRITE = 
  7. Private Const MEM_COMMIT = 
  8. Private Type MEMORY_BASIC_INFORMATION
  9.     BaseAddress As Long
  10.     AllocationBase As Long
  11.     AllocationProtect As Long
  12.     RegionSize As Long
  13.     State As Long
  14.     Protect As Long
  15.     lType As Long
  16. End Type
  17. Private Declare Function VirtualQueryEx Lib "kernel32" (ByVal hProcess As LongByVal lpAddress As Long, lpBuffer As MEMORY_BASIC_INFORMATION, ByVal dwLength As LongAs Long
  18. Private Declare Sub CopyMemory Lib "kernel32" Alias "RtlMoveMemory" (Destination As Any, Source As Any, ByVal Length As Long)
  19. Private Declare Function DebugActiveProcess Lib "kernel32" (ByVal dwProcessId As LongAs Long
  20. Private Declare Function FindWindow Lib "user32" Alias "FindWindowA" (ByVal lpClassName As StringByVal lpWindowName As StringAs Long
  21. Private Declare Function GetWindowThreadProcessId Lib "user32" (ByVal hWnd As Long, lpdwProcessId As LongAs Long
  22. Private Const TH32CS_SNAPPROCESS As Long = 
  23. Private Declare Function CreateToolhelp32Snapshot Lib "kernel32" (ByVal lFlags As LongByVal lProcessID As LongAs Long
  24. Private Const MAX_PATH As Integer = 260
  25. Private Type PROCESSENTRY32
  26.     dwSize As Long
  27.     cntusage As Long
  28.     th32ProcessID As Long           ' this process
  29.     th32DefaultHeapID As Long
  30.     th32ModuleID As Long            ' associated exe
  31.     cntThreads As Long
  32.     th32ParentProcessID As Long     ' this process's parent process
  33.     pcPriClassBase As Long          ' Base priority of process's threads
  34.     dwFlags As Long
  35.     szExeFile As String * MAX_PATH  ' Path
  36. End Type
  37. Private Declare Function Process32First Lib "kernel32" (ByVal hSnapShot As Long, uProcess As PROCESSENTRY32) As Long
  38. Private Declare Function Process32Next Lib "kernel32" (ByVal hSnapShot As Long, uProcess As PROCESSENTRY32) As Long
  39. Private Declare Function CloseHandle Lib "kernel32" (ByVal hObject As LongAs Long
  40. Private Declare Function OpenProcess Lib "kernel32" (ByVal dwDesiredAccess As LongByVal bInheritHandle As LongByVal dwProcessId As LongAs Long
  41. Private Const PROCESS_VM_READ As Long = &H10                    '允许读目标进程
  42. Private Const PROCESS_QUERY_INFORMATION As Long = &H400         '允许查询内存状态
  43. Private Const PROCESS_ALL_ACCESS As Long = &H1F0FFFF            '允许完全控制目标进程
  44. Private Declare Function ReadProcessMemory Lib "kernel32" (ByVal hProcess As Long, lpBaseAddress As Any, lpBuffer As Any, ByVal nSize As Long, lpNumberOfBytesWritten As LongAs Long
  45. Private Declare Function EnumProcessModules Lib "psapi.dll" (ByVal hProcess As Long, lphModule As Any, ByVal cb As Long, lpcbNeeded As LongAs Boolean
  46. Private Declare Function GetModuleFileNameEx Lib "psapi" Alias "GetModuleFileNameExA" (ByVal hProcess As LongByVal hModule As LongByVal lpFilename As StringByVal nSize As LongAs Long
  48. Sub Main()
  49.     Dim s As String
  50.     Dim b() As Byte
  51.     Dim nLen As Long
  52.      
  53.     s = "1234567890"
  54.     nLen = Len(s) * 2
  55.     ReDim b(nLen) As Byte
  56.     CopyMemory b(1), ByVal StrPtr(s), nLen
  57.      
  58.     Call Search(b, GetCurrentProcessId())
  59. End Sub
  62. Public Sub Search(byteData() As ByteOptional p_ID As Long = 0, Optional szWindowText As String = ""Optional ByVal lpStart As Long = &H100000, Optional lpEnd As Long = &H7FFFFFFF)
  63.     Dim hWnd As Long                                                '窗口句柄
  64.     Dim hProcessID As Long                                          '进程ID
  65.     Dim hProcessSnapShot As Long                                    '进程快照句柄
  66.     Dim szModuleName As String                                      '进程模块名称
  67.     Dim bSuccessHup As Boolean                                      '进程挂起标志
  68.     Dim bFoundProcess As Boolean                                    '进程查找标志
  69.     Dim stProcess As PROCESSENTRY32                                 '进程信息结构
  71.     '判断进程句柄是否存在,如果不存在,则查找进程
  72.     If p_ID > 0 Then                                            '如果直接指定了要查找的目标进程的ID
  73.         hProcessID = p_ID
  74.     Else
  75.         If Len(szWindowText) > 0 Then                           '如果指定了窗口名称
  76.             hWnd = FindWindow(vbNullString, szWindowText)
  77.             If hWnd = 0 Then Exit Sub
  78.             GetWindowThreadProcessId hWnd, hProcessID
  79.         End If
  80.     End If
  81.     If hProcessID > 0 Then                                      '查找特定的进程
  82.         Call fnSearch(byteData, hProcessID, lpStart, lpEnd)
  83.     Else                                                        '查找所有进程
  84.         stProcess.dwSize = Len(stProcess)
  85.         hProcessSnapShot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0&)
  86.         bFoundProcess = Process32First(hProcessSnapShot, stProcess)
  87.         Do While bFoundProcess
  88.             hProcessID = stProcess.th32ProcessID
  89.             szModuleName = Left(stProcess.szExeFile, InStr(stProcess.szExeFile, vbNullChar) - 1)
  90.             Call fnSearch(byteData, hProcessID, lpStart, lpEnd)
  91.             bFoundProcess = Process32Next(hProcessSnapShot, stProcess)
  92.         Loop
  93.         CloseHandle hProcessSnapShot
  94.     End If
  95. End Sub
  97. Private Function fnSearch(byteData() As ByteByVal p_ID As LongByVal lpStart As LongByVal lpEnd As Long)
  98.     Dim hProcess As Long
  99.                '进程句柄
  100.     Dim lpBaseAddress As Long
  101.     Dim bSuccess As Boolean
  102.     Dim MBI As MEMORY_BASIC_INFORMATION
  103.     Dim lRet As Long                                                '用于接收API返回值
  104.     Dim mbiSize As Long, bSize As Long, dwNeeded As Long
  105.     Dim lpMBI As Long, lpByte As Long
  106.     Dim lpBuffer() As Byte                                          '内存缓冲区指针
  107.     Dim lpszFileName As String                                      '进程模块名称数组
  108.      
  109.     lpBaseAddress = lpStart
  110.     mbiSize = Len(MBI)
  111.     bSize = UBound(byteData)
  112.      
  113.     hProcess = OpenProcess(PROCESS_VM_READ Or PROCESS_QUERY_INFORMATION, False, p_ID)
  114.     If hProcess = 0 Then Exit Function
  115.      
  116.     lpszFileName = String(MAX_PATH, vbNullChar)                     '取完整的进程模块名称
  117.     If GetModuleFileNameEx(hProcess, ByVal 0&, lpszFileName, MAX_PATH) Then
  118.         lpszFileName = Left(lpszFileName, InStr(lpszFileName, vbNullChar) - 1)
  119.     End If
  120.     lRet = VirtualQueryEx(hProcess, lpBaseAddress, MBI, mbiSize)
  121.      
  122.     Do While ((lRet > 0) And (lpBaseAddress < lpEnd))
  123.         If (MBI.Protect And PAGE_READWRITE) And (MBI.State = MEM_COMMIT) Then
  124.             ReDim lpBuffer(MBI.RegionSize)
  125.             ReadProcessMemory hProcess, ByVal MBI.BaseAddress, lpBuffer(1), MBI.RegionSize, 0
  126.             For lpMBI = 1 To MBI.RegionSize - bSize
  127.                 For lpByte = 1 To bSize
  128.                     bSuccess = (lpBuffer(lpMBI + lpByte) = byteData(lpByte))
  129.                     If Not bSuccess Then Exit For
  130.                 Next
  131.                 If bSuccess Then    '找到目标内容
  132.                     Debug.Print "找到目标内容,进程文件:", lpszFileName, "地址:", MBI.BaseAddress + lpMBI
  133.                 End If
  134.             Next
  135.         End If
  136.         lpBaseAddress = lpBaseAddress + MBI.RegionSize
  137.         lRet = VirtualQueryEx(hProcess, lpBaseAddress, MBI, mbiSize)
  138.         DoEvents
  139.     Loop
  140.     CloseHandle hProcess
  141. End Function
  143. Private Function fnSearch1(byteData() As ByteByVal p_ID As LongByVal lpStart As LongByVal lpEnd As Long)
  144.     Dim hProcess As Long                                            '进程句柄
  145.     Dim lpBaseAddress As Long
  146.     Dim bSuccess As Boolean
  147.     Dim MBI As MEMORY_BASIC_INFORMATION
  148.     Dim lRet As Long
  149.     '用于接收API返回值
  150.     Dim mbiSize As Long, bSize As Long, dwNeeded As Long
  151.     Dim lpMBI As Long, lpByte As Long
  152.     Dim lpMemBuffer() As Long                                       '内存缓冲区指针
  153.     Dim lpDataBuffer() As Long                                      '要查找的字符串缓冲区指针
  154.     Dim lpszFileName As String                                      '进程模块名称数组
  155.      
  156.     lpBaseAddress = lpStart
  157.     mbiSize = Len(MBI)
  158.     bSize = UBound(byteData)
  159.     bSize = (bSize / 4) + IIf((bSize Mod 4) <> 0, 1, 0)
  160.     ReDim lpDataBuffer(bSize)
  161.     CopyMemory lpDataBuffer(1), byteData(1), UBound(byteData)
  162.      
  163.     hProcess = OpenProcess(PROCESS_VM_READ Or PROCESS_QUERY_INFORMATION, False, p_ID)
  164.     If hProcess = 0 Then Exit Function
  165.      
  166.     lpszFileName = String(MAX_PATH, vbNullChar)                     '取完整的进程模块名称
  167.     If GetModuleFileNameEx(hProcess, ByVal 0&, lpszFileName, MAX_PATH) Then
  168.         lpszFileName = Left(lpszFileName, InStr(lpszFileName, vbNullChar) - 1)
  169.     End If
  170.     lRet = VirtualQueryEx(hProcess, lpBaseAddress, MBI, mbiSize)
  171.      
  172.     Do While ((lRet > 0) And (lpBaseAddress < lpEnd))
  173.         If (MBI.Protect And PAGE_READWRITE) And (MBI.State = MEM_COMMIT) Then
  174.             ReDim lpMemBuffer(MBI.RegionSize)
  175.             ReadProcessMemory hProcess, ByVal MBI.BaseAddress, lpMemBuffer(1), MBI.RegionSize, 0
  176.             For lpMBI = 1 To (MBI.RegionSize / 4 - bSize)
  177.                 For lpByte = 1 To bSize
  178.                     bSuccess = (lpMemBuffer(lpMBI + lpByte) = lpDataBuffer(lpByte))
  179.                     If Not bSuccess Then Exit For
  180.                 Next
  181.                 If bSuccess Then    '找到目标内容
  182.                     Debug.Print "找到目标内容,进程文件:", lpszFileName, "地址:", MBI.BaseAddress + lpMBI * 4
  183.                 End If
  184.             Next
  185.         End If
  186.         lpBaseAddress = lpBaseAddress + MBI.RegionSize
  187.         lRet = VirtualQueryEx(hProcess, lpBaseAddress, MBI, mbiSize)
  188.         DoEvents
  189.     Loop
  190.     CloseHandle hProcess
  191. End Function
ssihc0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Splunk中base search的使用
QYHuiiQ
03-18 826
在dashbaord中有时可能多个panel里会使用一些共同的源数据,这时我们可以把这些查询共同数据的代码提取出来作为base search,然后在各个panel spl里引用。 eg: 定义base search: <search id="baseSearchForStudent"> //这里要指定id,后面才可以引用这个id <query> index="aaa" sourcetype="bbb" ... //将公共的查询语句写在这里 .
搜索内存数据
11-05
详细讲述了搜寻指定数据内存中的地址的方法,可以用于外挂开发。
Windows核心编程笔记第十四篇(代码精读 线程堆栈内存区域的判断,区域页面类型猜测)...
weixin_30379911的博客
11-12 82
1//Wehaveablockcontainedintheregion.23//ThefollowingifstatementisfordetectingstacksinWindows98.4//AWindows98stackregion'slast4blockslo...
C++实现仿CE工具-快速内存搜索-内存特征码定位快速实现-代码很精妙
追逐光芒,追随内心
07-10 3300
第一步 进行内存属性过滤,第二步 就是拷贝内存到自身进程进行for循环遍历,这样速度不快才怪!搜索内存底层没用API函数,直接是纯汇编了。
C++ + MFC 写一个程序参数修改器(内存操作)
LyRics1996的博客
08-28 906
一、说明 本章来介绍一下内存的操作,这个程序参数修改器的其中的一个原理就是读写内存的值, 分四步: 从选择的进程的内存中读取我们需要的值 通过官方软件(例如扫雷程序)改变其值 再次从选择的进程的内存中取修改过的值 直到没有无法缩小范围,调用api修改内存 关键函数两个: ReadProcessMemory 读取内存 WriteProcessMemory 写入内存(需要关闭360等安全软件) 二、新建Search类 该类主要有两个功能: 搜索 (分为首次搜索和再次搜索,其中再次搜索是在首次搜索的地
jenkins docker 容器超简单搭建
iceblue_coffee的博客
12-24 267
jenkins docker 容器搭建 前面已经搭建过mysql容器的搭建,其他容器搭建前面大体差不多 dockerhub 查询Jenkins容器镜像 拉取镜像 # 拉取jenkins 镜像,不加tag默认为 :lastest docker pull jenkins/jenkins 查看镜像使用文档 进入jenkins 找到jenkins 存储数据的位置 /var/jenkins_ho...
数据搜索内存搜索搜索窗口新手学易
08-20
数据搜索内存搜索搜索窗口新手学易系统结构:内存数据到十六进制文本,搜索整数,二次搜索整数,读内存数,内存监视,CreateToolhelp32Snapshot,Process32First,Process32Next,OpenProcess,ReadProcessMemory,读内
从微信内存获取数据
08-13
微信PC版的内存数据可能更易于访问,因为桌面环境提供了更多的底层系统访问权限。 总结来说,这个项目提供了一个基础的示例,展示了如何利用易语言和hook技术从微信PC版的内存中提取数据,特别是好友列表信息。对于...
android调用C语言实现内存的读取与修改(二)
qq_33522837的博客
06-10 6896
#include <stdio.h> #include <unistd.h> #include <stdlib.h> #include <fcntl.h> #include <dirent.h> #include <pthread.h> #include <cstdio> #include <cstring> #include <fstream> struct MAPS { unsigne.
游戏外挂技术:编程实现内存检索(检索内存中指定数据
热门推荐
涂作权的博客
07-28 1万+
1.目标,通过程序检索植物大战僵尸雪的值,并将雪的值修改(这个时候得使用dll的方式才能够实现): 2.打开MemSearch工具。截图如下: 上面(0x20337520)是通过MemSearch累计查找到的地址值 3.新建项目,项目截图如下: 内存检索代码: #include #include #include   /***********
DEBUG命令详解 参数 搜索 跟踪 反汇编 写入 分配扩展内存 释放扩展内存
12-14
DEBUG命令详解 参数 搜索 跟踪 反汇编 写入 分配扩展内存 释放扩展内存 直接将 8086/8087/8088 记忆码合并到内存。 该命令从汇编语言语句创建可执行的机器码。所有数值都是十六进制格式,必须按一到四个字符输入这些数值。在引用的操作代码(操作码)前指定前缀记忆码。 a [address] 参数 address 指定键入汇编语言指令的位置。对 address 使用十六进制值,并键入不以“h”字符结尾的每个值。如果不指定地址,a 将在它上次停止处开始汇编。 有关将数据输入到指定字节中的信息,请参看Debug E(键入)。 有关反汇编字节的信息,请参看Debug U(反汇编) 说明 使用记忆码 段的替代记忆码为 cs:、ds:、es: 和 ss:。远程返回的记忆码是 retf。字符串处理的记忆码必须明确声明字符串大小。例如,使用 movsw 可以移动 16 位的字串,使用 movsb 可以移动 8 位字节串。 汇编跳转和调用 汇编程序根据字节替换自动将短、近和远的跳转及调用汇编到目标地址。通过使用 near 或 far 前缀可以替代这样的跳转或调用,如下例所示: -a0100:0500 0100:0500 jmp 502 ; a 2-byte short jump 0100:0502 jmp near 505 ; a 3-byte near jump 0100:0505 jmp far 50a ; a 5-byte far jump 可以将 near 前缀缩写为 ne。 区分字和字节内存位置 当某个操作数可以引用某个字内存位置或者字节内存位置时,必须用前缀 word ptr 或者前缀 byte ptr 指定数据类型。可接受的缩写分别是 wo 和 by。以下范例显示两种格式: dec wo [si] neg byte ptr [128] 指定操作数 Debug 使用包括在中括号 ([ ]) 的操作数引用内存地址的习惯用法。这是因为另一方面 Debug 不能区分立即操作数和内存地址的操作数。以下范例显示两种格式: mov ax,21 ; load AX with 21h mov ax,[21] ; load AX with the ; contents of ; memory location 21h 使用伪指令 使用 a 命令提供两个常用的伪指令:db 操作码,将字节值直接汇编到内存,dw 操作码,将字值直接汇编到内存。以下是两个伪指令的范例: db 1,2,3,4,"THIS IS AN EXAMPLE" db 'THIS IS A QUOTATION MARK:"' db "THIS IS A QUOTATION MARK:'" dw 1000,2000,3000,"BACH"
搜索内存数据(二)
ssihc0的专栏
11-02 900
Public Function SearchMem(hProcess As Long, strSearch As String, Optional spos As Long = &H400000) As Long    Dim i As Long, j As Long, count As Long, nLength As Long    Dim r As Long, mbi As MEMORY_B
在一个内存查找到有用的数据
chuyanghong的博客
05-17 619
应用场景:在rf的接收端,收到一段数据然后从这段数据中找出想要的数据。 void module_rf_start() { char *buffer = malloc(CYCLE_RB_BUFFER_LEN); pthread_attr_t attr; int ret; pthread_attr_init(&attr); pthread_at...
加快从大容量的数据库中提取数据(查询)
ckangtai的专栏
07-13 1137
随着“金盾工程”建设的逐步深入和公安信息化的高速发展,公安计算机应用系统被广泛应用在各警种、各部门。与此同时,应用系统体系的核心、系统数据的存放地――数据库也随着实际应用而急剧膨胀,一些大规模的系统,如人口系统的数据甚至超过了1000万条,可谓海量。那么,如何实现快速地从这些超大容量的数据库中提取数据(查询)、分析、统计以及提取数据后进行数据分页已成为各地系统管理员和数据库管理员亟待解决的难题
[源码和文档分享]内存快速搜索遍历
qq_38474647的博客
12-28 777
背景 相比很多人都用过内存搜索软件 Cheat Engine 吧,它里面提供了强大进程内存搜索功能,搜索速度很快,搜索结果也很精确。我之前对内存搜索也稍微专研了一下,是因为当时需要写一个小程序,那个小程序的功能就是可以搜索出指定进程指定值的内存地址,这个CE就能做,只不过是要在自己的程序里实现内存搜索内存的遍历搜索,说难也不难,说容易也不...
金税数据治理大数据平台解决方案.pdf
07-13
3. 开放服务中心:提供数据查询与统计、税务搜索数据挖掘等功能,促进数据的开放共享。 4. 应用创新中心:以纳税人画像、基因图谱等为代表,利用数据挖掘技术进行创新应用开发,提升税务服务的质量和效率。 五、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值