读取指定进程内存信息 - 特征码秒级匹配

---

前言

在Windows系统中，访问进程的内存时经常会遇到Error 299，这表示“部分读取请求已完成”。这通常发生在尝试读取的内存块跨越了可访问和不可访问的内存区域。

为了避免这个问题，我们可以在读取内存时使用VirtualQueryEx函数，来获取每个内存块的状态和大小。然后只读取那些可以访问的内存区域。

---

下面是使用VirtualQueryEx来确定可读的内存区域：

#include <windows.h>
#include <stdio.h>

// 优化后的特征码搜索
void* optimized_search(void* mem, size_t mem_size, const char* pattern, size_t pattern_size) {
    if (pattern_size > mem_size) {
        return NULL;
    }

    for (size_t i = 0; i <= mem_size - pattern_size; ++i) {
        if (memcmp((char*)mem + i, pattern, pattern_size) == 0) {
            return (char*)mem + i;
        }
    }

    return NULL;
}

int main() {
    DWORD pid = 24648; // 目标进程ID
    HANDLE process = OpenProcess(PROCESS_VM_READ | PROCESS_QUERY_INFORMATION, FALSE, pid);
    if (process == NULL) {
        printf("OpenProcess failed. Error: %lu\n", GetLastError());
        return 1;
    }

    // 示例特征码
    char pattern[] = { 0x00, 0x00, 0x00, 0x55, 0xAA, 0x40, 0xCB, 0x00 };
    size_t pattern_size = sizeof(pattern);

    // 设置读取区间
    SIZE_T startAddr = 0x0;
    SIZE_T endAddr = 0x30000000000;
    SIZE_T chunk_size = 0x100000; // 每次读取1MB
    void* mem = malloc(chunk_size);
    if (mem == NULL) {
        printf("Memory allocation failed.\n");
        CloseHandle(process);
        return 1;
    }

    SIZE_T addr = startAddr;
    while (addr < endAddr) {
        MEMORY_BASIC_INFORMATION mbi;
        if (VirtualQueryEx(process, (LPCVOID)addr, &mbi, sizeof(mbi)) == 0) {
            printf("VirtualQueryEx failed at address 0x%llx. Error: %lu\n", addr, GetLastError());
            addr += chunk_size;
            continue;
        }

        // 只读取可读的内存区域
        if (mbi.State == MEM_COMMIT && (mbi.Protect & PAGE_READWRITE || mbi.Protect & PAGE_READONLY)) {
            SIZE_T region_size = mbi.RegionSize < chunk_size ? mbi.RegionSize : chunk_size;
            SIZE_T bytes_read;
            if (ReadProcessMemory(process, mbi.BaseAddress, mem, region_size, &bytes_read)) {
                void* result = optimized_search(mem, bytes_read, pattern, pattern_size);
                if (result != NULL) {
                    printf("Pattern found at address: 0x%llx\n", (SIZE_T)mbi.BaseAddress + (char*)result - (char*)mem);
                    break;
                }
            } else {
                printf("ReadProcessMemory failed at address 0x%llx. Error: %lu\n", (SIZE_T)mbi.BaseAddress, GetLastError());
            }
        }

        addr += mbi.RegionSize;
    }

    free(mem);
    CloseHandle(process);
    return 0;
}

关键点

1. VirtualQueryEx：用于查询指定内存地址的信息，包括该内存块的状态和保护属性。
2. MEM_COMMIT：表示内存块已被分配。
3. PAGE_READWRITE 和 PAGE_READONLY：表示内存块是可读的。
4. 分块读取：避免跨越不可访问的内存区域。

通过使用VirtualQueryEx，代码可以更可靠地读取内存区域，并避免在尝试读取不可访问的内存时遇到错误。

方法注释

这个 optimized_search 函数是一个在内存块中搜索特定模式的优化实现。让我们逐行解释:

void* optimized_search(void* mem, size_t mem_size, const char* pattern, size_t pattern_size) {

• 函数接受四个参数:
  • mem: 要搜索的内存块的起始地址,类型为 void*。
  • mem_size: 内存块的大小,以字节为单位。
  • pattern: 要搜索的模式,表示为字符串。
  • pattern_size: 模式的大小,以字节为单位。
• 函数返回值类型为 void*,表示找到模式的内存地址,如果没有找到则返回 NULL。

    if (pattern_size > mem_size) {
        return NULL;
    }

• 首先,检查模式的大小是否超过内存块的大小。如果是,则不可能找到模式,函数直接返回 NULL。

    for (size_t i = 0; i <= mem_size - pattern_size; ++i) {

• 接下来,使用一个循环遍历内存块。循环变量 i 表示当前搜索位置相对于内存块起始地址的偏移量。
• 循环条件 i <= mem_size - pattern_size 确保搜索不会超出内存块的边界。这是因为,如果当前位置加上模式大小超过内存块大小,就没有必要继续搜索了。

        if (memcmp((char*)mem + i, pattern, pattern_size) == 0) {
            return (char*)mem + i;
        }

• 在循环内部,使用 memcmp 函数比较当前位置开始的内存块与模式是否匹配。
• (char*)mem + i 计算当前搜索位置的内存地址,将 void* 类型的 mem 转换为 char* 类型,然后加上偏移量 i。
• 如果 memcmp 返回值为0,表示找到了匹配的模式,函数返回当前位置的内存地址。

    return NULL;

• 如果循环结束后没有找到匹配的模式,函数返回 NULL,表示搜索失败。

总的来说,这个函数通过遍历内存块的每个位置,并使用 memcmp 函数比较当前位置开始的内存块与模式是否匹配,从而实现了在内存块中搜索特定模式的功能。它是一个优化的实现,避免了不必要的比较,提高了搜索效率。