8

我正在做一个小单人教练。我不知道为什么函数 ReadProcessMemory 不起作用。通常它返回 False 或 True 但在这种情况下什么也没有。GetlastError() 给了我错误代码 6。

#-*- coding: cp1252 -*-

import ctypes, win32ui, win32process ,win32api

PROCESS_ALL_ACCESS = 0x1F0FFF
HWND = win32ui.FindWindow(None,"Solitär").GetSafeHwnd()
print(HWND)
PID = win32process.GetWindowThreadProcessId(HWND)[1]
print(PID)
PROCESS = win32api.OpenProcess(PROCESS_ALL_ACCESS,0,PID).handle

rPM = ctypes.windll.kernel32.ReadProcessMemory
wPM = ctypes.windll.kernel32.WriteProcessMemory

ADDRESS1 = 0x00E97074
ADDRESS2 = ctypes.create_string_buffer(64)
pi = ctypes.pointer(ADDRESS2)
rPM(PROCESS,ADDRESS1,ADDRESS2,64,0)
print(ADDRESS2)
x=ctypes.windll.kernel32.GetLastError()
print(x)
4

1 回答 1

12

查看社区对 MSDN ReadProcessMemory页面的评论,引用(原文如此):

W7不会运行读取进程内存

您可能需要检查当前进程令牌的“SE_DEBUG_NAME”访问权限。如果未启用。启用它。当然,这必须以管理员身份完成。

还完全声明返回类型并使用use_last_error参数,其中ctypes将在调用后直接在内部缓存GetLastError()值。否则,它可能是不正确的。如果您在 64 位系统上,SIZE_T 和指针是 64 位值,因此 ctypes 需要知道类型才能正确设置调用堆栈。

...
from ctypes import wintypes
...
rPM = ctypes.WinDLL('kernel32',use_last_error=True).ReadProcessMemory
rPM.argtypes = [wintypes.HANDLE,wintypes.LPCVOID,wintypes.LPVOID,ctypes.c_size_t,ctypes.POINTER(ctypes.c_size_t)]
rPM.restype = wintypes.BOOL
wPM = ctypes.WinDLL('kernel32',use_last_error=True).WriteProcessMemory
wPM.argtypes = [wintypes.HANDLE,wintypes.LPVOID,wintypes.LPCVOID,ctypes.c_size_t,ctypes.POINTER(ctypes.c_size_t)]
wPM.restype = wintypes.BOOL

ADDRESS1 = 0x00E97074
ADDRESS2 = ctypes.create_string_buffer(64)
bytes_read = ctypes.c_size_t()
print(rPM(PROCESS,ADDRESS1,ADDRESS2,64,ctypes.byref(bytes_read)))
print(ctypes.get_last_error())

另外,仅供参考,即使进行了所有修复,我也会得到相同的错误值,但我没有遇到启用SE_DEBUG_NAME.

解决了

以下行是问题:

PROCESS = win32api.OpenProcess(PROCESS_ALL_ACCESS,0,PID).handle

win32api.OpenProcess返回一个临时的,在检索到句柄后被PyHANDLE销毁并关闭句柄。

解决方案是使用:

PROCESS = win32api.OpenProcess(PROCESS_ALL_ACCESS,0,PID)
...
rPM(PROCESS.handle,ADDRESS1,ADDRESS2,64,0)

PROCESS然后持有PyHANDLE对象并且句柄保持有效。

于 2012-10-04T04:14:41.340 回答