修改内存数据知识一
2014-09-22 21:15
330 查看
原出处:http://blog.csdn.net/chenvsa/article/details/6329406
要修改或读取其他进程的数据,首先要知道几个知识:
一、1.windows系统为每个程序分配4GB的虚拟内存,虚拟内存由“页文件”实现。
2.每个程序的4GB空间的前2GB是程序的私有空间,后2GB是系统的空间。
3.每个页文件4KB。
4.在程序私有的2GB中,windows 98系列的系统的程序的可用地址为4MB--2GB
windows 2000系列的系统的程序的可用地址为64KB--2GB
因此还需要先判别程序运行的操作系统。
二、1.查阅MSDN可知,Read/WriteProcessMemory都需要一定的权限,
因此打开句柄时必须赋予相应权限。
这个程序是《Windows程序设计》——王艳平著的第二章的一个程序
程序的具体实现过程是:
创建一个子进程执行一个自己写的测试程序,
然后得到有读权限的子进程的句柄,搜索要改的数据的内存,最后修改。
原程序稍有错误,原程序没有取得读和写权限,所以GetLastError会返回998——内存位置访问无效。
和5——拒绝访问。
修改后程序正确执行,但是在读取一些不可用内存地址时会有229错误(会有很多,是正常的)
——仅完成部分的 ReadProcessMemory 或WriteProcessMemory 请求。
修改后的源代码如下:
/****以下是02MemRepair.cpp中的代码****/
#include <stdio.h>
#include <windows.h>
BOOL FindFirst(DWORD dwValue); // 在目标进程空间进行第一次查找
BOOL CompareAPage(DWORD dwBaseAddr,DWORD dwValue);// 比较目标进程内存一页中比较
BOOL FindNext(DWORD dwValue); // 在目标进程空间进行第二三四查找
void ShowList(); // 打印搜索出的地址
DWORD g_arList[1024]; // 存放查找到的地址列表
int g_nListCnt; // 有效地址个数
HANDLE g_hProcess; // 目标进程句柄
DWORD dError; // 错误代码
int main(int argc,char* argv[])
{
// 启动测试程序
char szFileName[] = "..//02TestMemRepair//debug//02TestMemRepair.exe";
STARTUPINFO si = {sizeof(STARTUPINFO)};
PROCESS_INFORMATION pi;
::CreateProcess(NULL,szFileName,NULL,NULL,FALSE,CREATE_NEW_CONSOLE,NULL,NULL,
&si,&pi);
::CloseHandle(pi.hThread);
// 打开句柄要给予能读的权限,据MSDN知最少是PROCESS_VM_READ
g_hProcess = ::OpenProcess(PROCESS_ALL_ACCESS,FALSE,pi.dwProcessId);
// 输入要修改的值
int iVal;
printf(" 想要修改的数据现在的值是:");
scanf("%d",&iVal);
// 进行第一次查找
if(!FindFirst(iVal))
{
printf("FindFirst失败");
getchar();
return FALSE;
}
// 打印搜索出的结果
ShowList();
// 若搜索结果不唯一,再次进行搜索
while(g_nListCnt>1)
{
printf("/n 搜索结果不唯一,改变数据的值后再次搜索,新值为:");
scanf("%d",&iVal);
if(FindNext(iVal))
ShowList();
else
{
printf(" FindNext失败");
return FALSE;
}
}
// 搜索结果唯一,进行修改
printf("/n 想要修改成的值为:");
scanf("%d",&iVal);
if(::WriteProcessMemory(g_hProcess,(LPVOID)g_arList[0],&iVal,sizeof(iVal),NULL))
printf("/n 修改成功!/n");
else
{
printf(" WriteProcessMemory失败");
return FALSE;
}
::CloseHandle(g_hProcess);
return 0;
}
BOOL FindFirst(DWORD dwValue)
{
const DWORD dwOneGB = 1024*1024*1024; // 1GB=1073741824
const DWORD dwOnePage = 4*1024; // 4KB=4096
if(g_hProcess == NULL)
{
printf(" 要读取的进程不存在/n");
return FALSE;
}
// 查看操作系统类型,以决定开始地址
DWORD dwBase;
OSVERSIONINFO vi = {sizeof(OSVERSIONINFO)};
::GetVersionEx(&vi);
if(vi.dwPlatformId==VER_PLATFORM_WIN32_WINDOWS)
{
printf(" 操作系统为98系列/n");
dwBase = 4*1024*1024; // 98系列,4MB=4194304
}
else
{
printf(" 操作系统为NT系列/n");
dwBase = 65536;// NT系列,64KB=65536
}
// 在开始地址到2GB的地址空间进行查找
for(;dwBase<2*dwOneGB;dwBase+=dwOnePage)
{ // 每次在一页中查找
if(CompareAPage(dwBase,dwValue))
{
printf(" CompareAPage成功/n");
}
else
{
printf(" CompareAPage失败/t%d/n",GetLastError());
continue;
}
}
return TRUE;
}
BOOL CompareAPage(DWORD dwBaseAddr,DWORD dwValue)
{
// 读取一页的内存
BYTE arByte[4096];
if(::ReadProcessMemory(g_hProcess,(LPCVOID)dwBaseAddr,arByte,4096,NULL))
{
printf(" ReadProcessMemory成功/n");
int* pdw;
for(int i=0;i<4096;i++)
{
pdw = (int*)&arByte[i];
if(*pdw==dwValue) // 如果等于要查找的值
{
if(g_nListCnt>=1024)
{
printf(" 找到的地址过多/n");
return FALSE;
}
//添加到全局变量中
g_arList[g_nListCnt++] = dwBaseAddr+i;
}
}
}
else
{
printf(" ReadProcessMemory失败/t%d/n",::GetLastError());
return FALSE; // 这页不可读
}
// 在这一页中查找
return TRUE;
}
BOOL FindNext(DWORD dwValue)
{
int nOrgCnt = g_nListCnt;
g_nListCnt = 0;
DWORD dwSecondRead; // 存储从地址中取出的值,与新值dwValue比较
// 在已经搜索出来的地址中再次查找
for(int m=0;m<nOrgCnt;m++)
{
if(::ReadProcessMemory(g_hProcess,(LPCVOID)g_arList[m],&dwSecondRead,sizeof(DWORD),NULL))
{
if(dwSecondRead==dwValue)
g_arList[g_nListCnt++] = g_arList[m];
}
else
{
printf(" ReadProcessMemory失败");
return FALSE;
}
return TRUE;
}
}
void ShowList()
{
for(int i=0;i<g_nListCnt;i++)
{
printf("%d:%08X/n",i+1,g_arList[i]);
}
printf("一共找到%d个地址/n",g_nListCnt);
}
/****以上是02MemRepair.cpp中的代码****/
/****以下是02TestMemRepair.cpp中的代码****/
#include <stdio.h>
int g_nNum; // 全局变量测试
int main(int argc,char* argv[])
{
int i = 198; // 局部变量测试
g_nNum = 1003;
while(1)
{
//
printf(" i = %d,addr = %08X; g_nNum = %d,addr = %08X/n",++i,&i,--g_nNum,&g_nNum);
getchar();
}
return 0;
}
/****以上是02MemRepair.cpp中的代码****/
/****以下是02TestMemRepair.cpp中的代码****/
#include <stdio.h>
int g_nNum; // 全局变量测试
int main(int argc,char* argv[])
{
int i = 198; // 局部变量测试
g_nNum = 1003;
while(1)
{
//
printf(" i = %d,addr = %08X; g_nNum = %d,addr = %08X/n",++i,&i,--g_nNum,&g_nNum);
getchar();
}
return 0;
}
/****以上是02TestMemRepair.cpp中的代码****/
要修改或读取其他进程的数据,首先要知道几个知识:
一、1.windows系统为每个程序分配4GB的虚拟内存,虚拟内存由“页文件”实现。
2.每个程序的4GB空间的前2GB是程序的私有空间,后2GB是系统的空间。
3.每个页文件4KB。
4.在程序私有的2GB中,windows 98系列的系统的程序的可用地址为4MB--2GB
windows 2000系列的系统的程序的可用地址为64KB--2GB
因此还需要先判别程序运行的操作系统。
二、1.查阅MSDN可知,Read/WriteProcessMemory都需要一定的权限,
因此打开句柄时必须赋予相应权限。
这个程序是《Windows程序设计》——王艳平著的第二章的一个程序
程序的具体实现过程是:
创建一个子进程执行一个自己写的测试程序,
然后得到有读权限的子进程的句柄,搜索要改的数据的内存,最后修改。
原程序稍有错误,原程序没有取得读和写权限,所以GetLastError会返回998——内存位置访问无效。
和5——拒绝访问。
修改后程序正确执行,但是在读取一些不可用内存地址时会有229错误(会有很多,是正常的)
——仅完成部分的 ReadProcessMemory 或WriteProcessMemory 请求。
修改后的源代码如下:
/****以下是02MemRepair.cpp中的代码****/
#include <stdio.h>
#include <windows.h>
BOOL FindFirst(DWORD dwValue); // 在目标进程空间进行第一次查找
BOOL CompareAPage(DWORD dwBaseAddr,DWORD dwValue);// 比较目标进程内存一页中比较
BOOL FindNext(DWORD dwValue); // 在目标进程空间进行第二三四查找
void ShowList(); // 打印搜索出的地址
DWORD g_arList[1024]; // 存放查找到的地址列表
int g_nListCnt; // 有效地址个数
HANDLE g_hProcess; // 目标进程句柄
DWORD dError; // 错误代码
int main(int argc,char* argv[])
{
// 启动测试程序
char szFileName[] = "..//02TestMemRepair//debug//02TestMemRepair.exe";
STARTUPINFO si = {sizeof(STARTUPINFO)};
PROCESS_INFORMATION pi;
::CreateProcess(NULL,szFileName,NULL,NULL,FALSE,CREATE_NEW_CONSOLE,NULL,NULL,
&si,&pi);
::CloseHandle(pi.hThread);
// 打开句柄要给予能读的权限,据MSDN知最少是PROCESS_VM_READ
g_hProcess = ::OpenProcess(PROCESS_ALL_ACCESS,FALSE,pi.dwProcessId);
// 输入要修改的值
int iVal;
printf(" 想要修改的数据现在的值是:");
scanf("%d",&iVal);
// 进行第一次查找
if(!FindFirst(iVal))
{
printf("FindFirst失败");
getchar();
return FALSE;
}
// 打印搜索出的结果
ShowList();
// 若搜索结果不唯一,再次进行搜索
while(g_nListCnt>1)
{
printf("/n 搜索结果不唯一,改变数据的值后再次搜索,新值为:");
scanf("%d",&iVal);
if(FindNext(iVal))
ShowList();
else
{
printf(" FindNext失败");
return FALSE;
}
}
// 搜索结果唯一,进行修改
printf("/n 想要修改成的值为:");
scanf("%d",&iVal);
if(::WriteProcessMemory(g_hProcess,(LPVOID)g_arList[0],&iVal,sizeof(iVal),NULL))
printf("/n 修改成功!/n");
else
{
printf(" WriteProcessMemory失败");
return FALSE;
}
::CloseHandle(g_hProcess);
return 0;
}
BOOL FindFirst(DWORD dwValue)
{
const DWORD dwOneGB = 1024*1024*1024; // 1GB=1073741824
const DWORD dwOnePage = 4*1024; // 4KB=4096
if(g_hProcess == NULL)
{
printf(" 要读取的进程不存在/n");
return FALSE;
}
// 查看操作系统类型,以决定开始地址
DWORD dwBase;
OSVERSIONINFO vi = {sizeof(OSVERSIONINFO)};
::GetVersionEx(&vi);
if(vi.dwPlatformId==VER_PLATFORM_WIN32_WINDOWS)
{
printf(" 操作系统为98系列/n");
dwBase = 4*1024*1024; // 98系列,4MB=4194304
}
else
{
printf(" 操作系统为NT系列/n");
dwBase = 65536;// NT系列,64KB=65536
}
// 在开始地址到2GB的地址空间进行查找
for(;dwBase<2*dwOneGB;dwBase+=dwOnePage)
{ // 每次在一页中查找
if(CompareAPage(dwBase,dwValue))
{
printf(" CompareAPage成功/n");
}
else
{
printf(" CompareAPage失败/t%d/n",GetLastError());
continue;
}
}
return TRUE;
}
BOOL CompareAPage(DWORD dwBaseAddr,DWORD dwValue)
{
// 读取一页的内存
BYTE arByte[4096];
if(::ReadProcessMemory(g_hProcess,(LPCVOID)dwBaseAddr,arByte,4096,NULL))
{
printf(" ReadProcessMemory成功/n");
int* pdw;
for(int i=0;i<4096;i++)
{
pdw = (int*)&arByte[i];
if(*pdw==dwValue) // 如果等于要查找的值
{
if(g_nListCnt>=1024)
{
printf(" 找到的地址过多/n");
return FALSE;
}
//添加到全局变量中
g_arList[g_nListCnt++] = dwBaseAddr+i;
}
}
}
else
{
printf(" ReadProcessMemory失败/t%d/n",::GetLastError());
return FALSE; // 这页不可读
}
// 在这一页中查找
return TRUE;
}
BOOL FindNext(DWORD dwValue)
{
int nOrgCnt = g_nListCnt;
g_nListCnt = 0;
DWORD dwSecondRead; // 存储从地址中取出的值,与新值dwValue比较
// 在已经搜索出来的地址中再次查找
for(int m=0;m<nOrgCnt;m++)
{
if(::ReadProcessMemory(g_hProcess,(LPCVOID)g_arList[m],&dwSecondRead,sizeof(DWORD),NULL))
{
if(dwSecondRead==dwValue)
g_arList[g_nListCnt++] = g_arList[m];
}
else
{
printf(" ReadProcessMemory失败");
return FALSE;
}
return TRUE;
}
}
void ShowList()
{
for(int i=0;i<g_nListCnt;i++)
{
printf("%d:%08X/n",i+1,g_arList[i]);
}
printf("一共找到%d个地址/n",g_nListCnt);
}
/****以上是02MemRepair.cpp中的代码****/
/****以下是02TestMemRepair.cpp中的代码****/
#include <stdio.h>
int g_nNum; // 全局变量测试
int main(int argc,char* argv[])
{
int i = 198; // 局部变量测试
g_nNum = 1003;
while(1)
{
//
printf(" i = %d,addr = %08X; g_nNum = %d,addr = %08X/n",++i,&i,--g_nNum,&g_nNum);
getchar();
}
return 0;
}
/****以上是02MemRepair.cpp中的代码****/
/****以下是02TestMemRepair.cpp中的代码****/
#include <stdio.h>
int g_nNum; // 全局变量测试
int main(int argc,char* argv[])
{
int i = 198; // 局部变量测试
g_nNum = 1003;
while(1)
{
//
printf(" i = %d,addr = %08X; g_nNum = %d,addr = %08X/n",++i,&i,--g_nNum,&g_nNum);
getchar();
}
return 0;
}
/****以上是02TestMemRepair.cpp中的代码****/
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Cheat Engine查看修改内存数据
- c#中用windows api函数修改内存数据
- [cocos2dx]防止八门神器修改内存数据
- Ida动态修改android程序的内存数据和寄存器数值,绕过so文件的判断语句
- CPU 读、修改内存数据过程
- *.cpl文件的妙用(随意修改cpu显示数据,内存显示随意修改等等)
- 直接修改内存数据
- 06-数据结构_预备知识-跨函数使用内存
- 修改内存数据程序(MFC)
- 92.Oracle数据库SQL开发之 修改表内存——数据库事务的事务锁
- c#中用windows api函数修改内存数据
- 在内存中修改数据的网游外挂
- 从配置文件(*.config)读到内存中,手动修改配置文件后,内存中数据改变问题.
- c#中用windows api函数修改内存数据
- 读取ini配置文件时,成员变量的内存数据被隐式修改了
- 在内存中修改数据的网游外挂
- windows编程之内存数据修改
- 编程修改内存中的过时数据
- 使用位域及共用体的知识显示位域数据在内存 中的存储形式。
- mysql 基本知识--约束以及修改数据表