3

我需要从不同的应用程序中读取程序的内存。我有整个过程和应用程序的“连接”。

我有一个函数可以在打开的进程的内存中搜索模式,并且由于签名返回了我感兴趣的函数的有效入口点。

问题是,引导我获取数据的汇编指令(我无法通过偏移量或签名找到)如下:

H5Calc.exe+12DDC5B - E8 10F1FFFF           - call H5Calc.exe+12DCD70

我四处搜寻,发现这可能符合我的目的:

return (MainClass*) *(DWORD*) PatternPointer;

但问题是,如果使用“注入”,上面的行会起作用,而我正在使用 ReadProcessMemory,因为我不允许这样做。

那么,有人可以帮助“翻译”

(MainClass*) *(DWORD*) PatternPointer;

考虑到汇编指令,指针操作进入 ReadProcessMemory 调用?鉴于我是从另一个应用程序打开的,如果没有使用 ReadProcessMemory(我可以定期调用它以进行其他操作),我将无法访问 H5Calc 内存区域。

任何帮助表示赞赏。

谢谢。

4

2 回答 2

1

您可以按照此处所述计算实际地址,即获取跳转后指令的地址,即

0x12DDC5B + 5 = 0x12DDC60

然后你取一个 32 位 little endian 2 的补码有符号整数的偏移量,所以

"0x10 0xF1 0xFF 0xFF" = 0xFFFFF110 - 0x100000000 = -0xEF0

然后将偏移量添加到上面计算的基地址以获得

0x12DDC60 + (-0xEF0) = 0x12DCD70

在 C 中,这看起来像:

unsigned char *jmp_ptr = (unsigned char *)0x12DDC5B;
int offset; // or use ptrdiff_t if it's 32 bits wide
ReadProcessMemory(hProc, jmp_ptr + 1, &offset, sizeof offset, NULL);
unsigned char *target_ptr = jmp_ptr + 5 + offset;

(应用风格混搭来获取 C++ 代码。还要检查函数的返回值等)

您现在可以将结果地址提供给另一个调用以ReadProcessMemory()获取指向实例的指针:

MainClass *instance = NULL;
ReadProcessMemory(hProc, target_ptr, &instance, sizeof instance, NULL);
于 2013-10-30T05:53:39.583 回答
0

您可以在进程之间使用共享内存。如果您想知道如何执行此操作,我可以发布一些代码。Windows API 使用 CreateFileMapping() 和 MapViewOfFile()。然后两个进程可以看到相同的内存。

于 2013-10-29T23:07:55.637 回答