python读取某进程内存数据_python中的ReadProcessMemory出现问题,无法读取64位进程内存...

最新推荐文章于 2023-01-05 16:50:31 发布
最新推荐文章于 2023-01-05 16:50:31 发布
阅读量893 收藏
点赞数
文章标签: python读取某进程内存数据

I'm getting error code 998 (ERROR_NOACCESS) when using ReadProcessMemory to read the memory of a 64bit process (Minesweeper). I'm using python 3.5 64bit on windows 7 64bit.

The strange thing is, this error only happens with addresses that are higher up, like for example 0x 0000 0000 FF3E 0000. Lower addresses, like 0x 0000 0000 0012 AE40 don't throw an error and return correct Minesweeper data.

When I write the same program using nearly identical code in C#.NET and look at the same addresses, it works and I don't get an error!

I know the address I'm looking at is correct because I can see it with Cheat Engine and VMMap. I don't know if it's relevant, but the higher address I'm looking at is the base module address of the MineSweeper.exe module in Minesweeper.

Why is the python code not working?

Python code (throws error for higher addresses but works for lower):

import ctypes, struct

pid = 3484 # Minesweeper

processHandle = ctypes.windll.kernel32.OpenProcess(0x10, False, pid)

addr = 0x00000000FF3E0000 # Minesweeper.exe module base address

buffer = (ctypes.c_byte * 8)()

bytesRead = ctypes.c_ulonglong(0)

result = ctypes.windll.kernel32.ReadProcessMemory(processHandle, addr, buffer, len(buffer), ctypes.byref(bytesRead))

e = ctypes.windll.kernel32.GetLastError()

print('result: ' + str(result) + ', err code: ' + str(e))

print('data: ' + str(struct.unpack('Q', buffer)[0]))

ctypes.windll.kernel32.CloseHandle(processHandle)

# Output:

# result: 0, err code: 998

# data: 0

C#.NET code (64bit project, no errors):

[DllImport("kernel32.dll")]

static extern IntPtr OpenProcess(int dwDesiredAccess, bool bInheritHandle, int dwProcessId);

[DllImport("kernel32.dll")]

static extern Int32 ReadProcessMemory(IntPtr hProcess, IntPtr lpBaseAddress, [Out] byte[] buffer, UInt32 size, out IntPtr lpNumberOfBytesRead);

[DllImport("kernel32.dll")]

static extern bool CloseHandle(IntPtr hObject);

static void Main(string[] args)

{

var pid = 3484; // Minesweeper

var processHandle = OpenProcess(0x10, false, pid);

var addr = 0x00000000FF3E0000; // Minesweeper.exe module base address

var buffer = new byte[8];

IntPtr bytesRead;

var result = ReadProcessMemory(processHandle, new IntPtr(addr), buffer, (uint)buffer.Length, out bytesRead);

Console.WriteLine("result: " + result);

Console.WriteLine("data: " + BitConverter.ToInt64(buffer, 0).ToString());

CloseHandle(processHandle);

Console.ReadLine();

}

// Output:

// result: 1

// data: 12894362189

解决方案

See eryksun's comment, it fixed my problem! Changed 'addr' to 'ctypes.c_void_p(addr)' in the ReadProcessMemory call.

weixin_39716971
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DELPHI 读取&修改内存数据
02-13
DELPHI 读取&修改内存数据源代码,可读取或修改指定内存地址数据
PInjection:Python注入是一个脚本,它将尝试将python CodeType注入正在运行的进程
02-16
P注射 ¿Quées? 在Python注入脚本和脚本,然后在comand脚本创建脚本(CLI脚本)。 在Windows API( , , 和 )可以正常使用通用脚本,并可以随时随地使用备忘录。 ¿是吗? 否注解脚本可删除的参数病毒或计算机上的伪狂犬病。 否在脚本添加可脚本编辑的可编辑的后卫警戒功能。 SSÍes! PInjection SI上课联合国脚本ejecutable对米CódigoObjetoespecíficoY “marshalizado”恩UNA区德MEMORIAespecífica。 PInjection SI上课未模阙provee UNA interfaz sencilla德utilizar对cualquier诺瓦托恩的Python。 PInjection SI es una buenaelecciónpara of uscar and ocul
读取内存数据
07-20
StrToInt64Ex,ReadProcessMemory,OpenProcess,CloseHandle,GetWindowThreadProcessId
读取进程内存值演示,readGameMemory/readProcessMemory
08-25
读取进程内存值演示,readGameMemory/readProcessMemory,读取游戏/应用进程演示,需要提供目标进程窗口句柄,要读取内存地址。C++实现,供学习和参考
API.zip_FindWindowA_ReadProcessMemory
09-14
Declare Function FindWindow Lib "User32" Alias "FindWindowA" (ByVal lpClassName As String, ByVal lpWindowName As String) As Long Declare Function GetWindowThreadProcessId Lib "User32" (ByVal hwnd As Long, lpdwProcessId As Long) As Long Declare Function OpenProcess Lib "kernel32" (ByVal dwDesiredAccess As Long, ByVal bInheritHandle As Long, ByVal dwProcessId As Long) As Long Declare Function WriteProcessMemory Lib "kernel32" (ByVal hProcess As Long, ByVal lpBaseAddress As Any, lpBuffer As Any, ByVal nSize As Long, lpNumberOfBytesWritten As Long) As Long Declare Function ReadProcessMemory Lib "kernel32" (ByVal hProcess As Long, ByVal lpBaseAddress As Long, lpBuffer As Any, ByVal nSize As Long, lpNumberOfBytesRead As Long) As Long Declare Function CloseHandle Lib "kernel32" (ByVal hObject As Long) As Long
win32-ReadProcessMemory在x86和x64下运行
qq_39529180的博客
07-02 48
#include <iostream> #include <Windows.h> #include <winternl.h> #include <tchar.h> #pragma comment(lib, "ntdll") int main() { // create destination process - this is the ...
ReadProcessMemory 报错 299 解决办法
hejingdong123的博客
10-31 6934
最近在做一个小项目,其他需要读取其他进程空间的数据。用到了ReadProcessMemory() 系统函数。在调试过程,始终无法正常获取数据。通过,调用GetLastError()函数后,得到错误码为:299 .查询了299错误码的意义是,“〖299〗-仅完成部分的 ReadProcessMemoty 或 WriteProcessMemory 请求。” 于是,尝试着把接收缓冲区改大,结果还是一样...
关于C/C++读写64位内存的实例笔记
qq_31265889的博客
09-01 6741
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 关于C/C++读写64位内存的实例笔记前言1.引入库2.定义变量3.实际读写操作最后 前言 ReadProcessMemory和WriteProcessMemory这两个函数几乎是所有跨进程读写内存都要用到的函数,目前网站上大多数案例都为32位进程读写,无法读取64位内存信息。 本文主要就C/C++ReadProcessMemory和WriteProcessMemory这两个函数对于x64进程内存读写操作进行说明。 提示:以下是
python读取进程内存_pythonReadProcessMemory读取64位进程内存出现问题
weixin_28716973的博客
01-30 2835
当使用ReadProcessMemory读取64位进程(扫雷舰)的内存时,我得到错误代码998(error_NOACCESS)。我在Windows7上使用的是64位Python3.5。在奇怪的是,这个错误只发生在更高的地址上,例如0x 0000 0000 FF3E 0000。较低的地址,如0x 0000 0000 0012 AE40,不会抛出错误并返回正确的扫雷艇数据。在当我在C#.NET使用...
Readprocessmemory用法
热门推荐
若水
04-24 3万+
函数功能:该函数从指定的进程读入内存信息,被读取的区域必须具有访问权限。 函数原型:BOOL ReadProcessMemory(HANDLE hProcess,LPCVOID lpBaseAddress,LPVOID lpBuffer,DWORD nSize,LPDWORD lpNumberOfBytesRead); 参数:hProcess进程句柄 lpBaseA
readprocessmemory函数
qq_40605829的博客
12-04 427
#include<stdio.h> #include<Windows.h> int main() { //SIZE_T* a = 0; int *tmp; DWORD dwNumberOfBytesRead; HANDLE pid=OpenProcess(PROCESS_ALL_ACCESS, FALSE, 7052);//PROCESS_ALL_ACCESS 为渴望得到的访问权限(标志) if (!ReadProcessMemory(pid, (LPCVOID)0x77A
通过ReadProcessMemory读取进程内存
zz_strive_2012的专栏
11-08 8319
修改一个程序的过程如下:1、获得进程的句柄 2、以一定的权限打开进程 3、调用ReadProcessMemory读取内存,WriteProcessMemory修改内存,这也是内存补丁的实现过程。下面贴出的是调用ReadProcessMemory的例程 #include<windows.h> #include<tlhelp32.h> BOOLCALLBACKEnum...
python 读取内存_使用Python进程内存读取数据
weixin_39668890的博客
11-29 2047
I'm trying to read data from memory of a process by inputing the process name, then finding PID using psutil. So far I have this:import ctypesfrom ctypes import *from ctypes.wintypes import *import wi...
Python打包(问题记录,待解决)
m0_58233509的博客
01-05 1203
文章用于测试在Python3.8的版本,打包Obspy地震包,最后集成到PyQt5上。部署或冻结应用程序是 Python 项目的重要组成部分, 这意味着捆绑所有必需的资源,以便应用程序找到它需要的一切 能够在客户端计算机上运行。但是,由于大多数大型项目不基于单个 Python 文件,因此分发这些 应用程序可能是一个挑战。以下是您可以使用的一些分发选项:发送包含应用程序内容的普通 ZIP 文件。构建一个合适的将应用程序冻结为单个二进制文件或目录。提供本机安装程序(微星,dmg)
python读写植物大战僵尸的内存调用c语言的动态链接库
qq_46242907的博客
08-23 598
读写内存调用c语言的动态链接库 win32api
Python实现简单内存读写
aaaaaaze的博客
02-28 2639
依赖库安装: conda install pywin32 实现: import ctypes import win32api from win32con import PROCESS_ALL_ACCESS # 权限 import win32process import sys class MemWrite: def __init__(self, window_name): self.handle = ctypes.windll.user32.FindWindowW.
python修改植物大战僵尸阳光值
qq_32394351的博客
12-28 4559
逆向第一课,找个单机游戏,改数据玩玩。 #!/usr/bin/env python3 # -*- coding: utf-8 -*- # File : 植物大战僵尸修改器.py # Author: DaShenHan&道长-----先苦后甜,任凭晚风拂柳颜------ # Date : 2019/12/28 import win32gui import win32process...
python读取进程内存数据
最新发布
07-14
读取进程内存数据,可以使用Python的`ctypes`模块来实现。下面是一个简单的示例代码,演示如何读取进程内存的整数数据。 ```python import ctypes # 定义进程ID和要读取内存地址 pid = 1234 # 进程ID address = 0x1000 # 内存地址 # 打开进程 process = ctypes.windll.kernel32.OpenProcess(0x1F0FFF, False, pid) # 读取内存数据 buffer = ctypes.create_string_buffer(4) # 创建一个4字节大小的缓冲区 bytes_read = ctypes.c_ulong(0) # 用于存储实际读取的字节数 ctypes.windll.kernel32.ReadProcessMemory(process, address, buffer, 4, ctypes.byref(bytes_read)) # 将字节数据转换为整数 value = int.from_bytes(buffer.raw, byteorder='little') # 输出结果 print(f"Read {bytes_read.value} bytes from process {pid} at address {address}") print(f"Value at address {address}: {value}") # 关闭进程句柄 ctypes.windll.kernel32.CloseHandle(process) ``` 请注意,这个示例代码是在Windows平台上使用`ctypes`模块进行进程内存读取的。在不同的操作系统上,可能需要使用不同的模块或方法来实现相同的功能。此外,读取进程内存数据可能涉及到一些安全和权限方面的限制,请确保你有合法的权限来进行这样的操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值