2

我正在编写一个小型内存扫描仪应用程序来查找内存中的指针。
但我似乎没有得到预期的结果。

我有以下代码:

[DllImport("kernel32.dll")]
private static extern bool ReadProcessMemory(IntPtr hProcess, IntPtr lpBaseAddress, [Out] byte[] buffer, UInt32 size, IntPtr lpNumberOfBytesRead);

public int ReadInt(long Address)
{
    byte[] buffer = new byte[4];
    ReadProcessMemory(ProcessHandle, (IntPtr)Address, buffer, 4, IntPtr.Zero); // this always returns true
    return BitConverter.ToInt32(buffer, 0);
}

public List<long> SearchInt(long start, long end, int value)
{
    List<long> results = new List<long>();
    for (long i = start; i < end; i++)
    {
        try
        {
            if (ReadInt(i) == value)
                results.Add(i);
        }
        catch (Exception)
        {
            break; // no exceptions occur
        }
    }
    return results;
}

如果我这样调用方法:

SearchInt(baseAddress.ToInt64(), lastAddress.ToInt64(), 1234)

我知道我正在读取的进程有一个值为 1234 的整数,但我没有得到任何结果。如果我扫描其他值,我有时会得到结果。

baseAddressprocess.MainModule.BaseAddress

lastAddressbaseAddress + process.MainModule.ModuleMemorySize

我在这里错过了什么吗?

4

1 回答 1

2

如果您要搜索的值是在运行时初始化的,而不是静态编译代码的一部分,这将不起作用。然后它将位于由BaseAddress+定义的内存区域之外ModuleMemorySize

来自ProcessModule.ModuleMemorySize

ModuleMemorySize 不包括模块在运行后进行的任何额外内存分配;它仅包括模块文件中静态代码和数据的大小。

于 2013-09-10T09:49:00.097 回答