3

我正在尝试扫描整个进程内存但没有成功......我正在做的是:对于我正在使用记事本的测试,所以我在那里写了%B,这个值在 HEX 中是:25(%) 和 42 (乙)。所以代码是:

  while (VirtualQueryEx(PIDHandle, Pointer(MemStart), MemInfo, SizeOf(MemInfo)) <> 0) do
    begin
      if ((MemInfo.State = MEM_COMMIT) and (not (MemInfo.Protect = PAGE_GUARD)
        or (MemInfo.Protect = PAGE_NOACCESS)) and (MemInfo.Protect = PAGE_READWRITE)) then
          begin
            SetLength(Buff, MemInfo.RegionSize);
              if (ReadProcessMemory(PIDHandle, MemInfo.BaseAddress, Buff,
                                        MemInfo.RegionSize, ReceivedBytes)) then
                begin
                for I := 0 to SizeOf(Buff) do
                 begin
   if (IntToHex(Buff[i], 1) = '25') and (IntToHex(Buff[i+2], 1) = '42') then
                  Form1.Memo1.Lines.Append(IntToHex(Buff[i], 1));
                 end;

                end;
          end;
      MemStart:= MemStart + MemInfo.RegionSize;
    end;
  CloseHandle(PIDHandle);
  end;

var 'Buff' 是 TBytes(我读过 TBytes 并认为它与字节数组相同)。所以我将字节转换为十六进制,并分别搜索值:25 和 42。代码如下:

if (IntToHex(Buff[i], 1) = '25') and (IntToHex(Buff[i+2], 1) = '42') then

因为在十六进制值之间有 00。所以我需要添加'+2'。如何扫描整个内存以获取此值?

4

1 回答 1

8

记事本使用 Unicode,因此您需要查找 UTF-16 编码数据,$0025并且$0042.

我不明白为什么您觉得需要在比较之前转换为十六进制字符串。十六进制没有什么特别需要使用字符串的。十六进制只是一个以 16 为基数的数字系统。因此,十进制 32 与十六进制 20 相同,即32=$20. 直接与整数值进行比较:

if (Buff[i]=$25) and (Buff[i+2]=$42) then

也就是说,考虑到$00您的测试字节数应该是这样的:

var
  Target: string;
....
Target := '%B';
if CompareMem(@Buff[i], @Target[1], Length(Target)*SizeOf(Char)) then
  ....

我不想深入了解您的其余代码,但是这一行

for I := 0 to SizeOf(Buff) do

在许多不同的层面上都是错误的。

  1. SizeOf(Buff)返回指针的大小,因为动态数组变量本质上只是一个指针。要记住的一件有用的事情SizeOf是在编译时进行评估。
  2. 如果您使用Length而不是SizeOfthen 您将遍历列表的末尾。0要遍历动态数组,请从to循环Length(...)-1
  3. 但是在这种情况下,您正在循环内访问索引,因此您应该从toi+2循环。0Length(...)-3

但实际上您需要与 4 个连续字节进行比较才能找到匹配项。或许是这样的:

TargetByteLength = Length(Target)*SizeOf(Char);
for i := 0 to Length(Buff)-TargetByteLength do
  if CompareMem(@Buff[i], @Target[1], TargetByteLength) then
    ....
于 2012-05-12T22:17:18.967 回答