【问题标题】:Memory Scanner not finding results内存扫描程序找不到结果
【发布时间】:2013-09-13 22:11:26
【问题描述】:

我正在编写一个小型内存扫描应用程序来查找内存中的指针。
但我似乎没有得到预期的结果。

我有以下代码:

[DllImport("kernel32.dll")]
private static extern bool ReadProcessMemory(IntPtr hProcess, IntPtr lpBaseAddress, [Out] byte[] buffer, UInt32 size, IntPtr lpNumberOfBytesRead);

public int ReadInt(long Address)
{
    byte[] buffer = new byte[4];
    ReadProcessMemory(ProcessHandle, (IntPtr)Address, buffer, 4, IntPtr.Zero); // this always returns true
    return BitConverter.ToInt32(buffer, 0);
}

public List<long> SearchInt(long start, long end, int value)
{
    List<long> results = new List<long>();
    for (long i = start; i < end; i++)
    {
        try
        {
            if (ReadInt(i) == value)
                results.Add(i);
        }
        catch (Exception)
        {
            break; // no exceptions occur
        }
    }
    return results;
}

如果我这样调用方法:

SearchInt(baseAddress.ToInt64(), lastAddress.ToInt64(), 1234)

我知道我正在读取的进程有一个值为 1234 的整数,但我没有得到任何结果。如果我扫描其他值,有时会得到结果。

baseAddressprocess.MainModule.BaseAddress

lastAddressbaseAddress + process.MainModule.ModuleMemorySize

我错过了什么吗?

【问题讨论】:

  • 您正在隐藏异常。至少使用 Debug.WriteLine() 记录它们,这样您就可以查看循环是否由于异常而提前退出。
  • 没有例外。
  • 在 64 位处理器上,i++ 将“跳跃”8 个字节。
  • 我应该怎么做?
  • 不,它不会将 i 加一,然后将其用作地址加一字节。

标签: c# pointers memory readprocessmemory


【解决方案1】:

如果您要搜索的值是在运行时初始化的,而不是静态编译代码的一部分,这将不起作用。然后它将位于BaseAddress + ModuleMemorySize 定义的内存区域之外

来自ProcessModule.ModuleMemorySize

ModuleMemorySize 不包括任何额外的内存分配 模块运行后生成的;它只包括大小 模块文件中的静态代码和数据。

【讨论】:

  • 好的,我要扫描整个内存,看看是否有结果。
  • @NicolasTyler 如果您要搜索的值是类成员,它可能存储在堆上,请参阅类似问题:stackoverflow.com/questions/6242537/…
  • 似乎除了baseAddress和lastAddress之间的地址之外的任何地址都具有零值。所以扫描其他地址毫无意义。
猜你喜欢
  • 1970-01-01
  • 2016-02-09
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2016-08-24
  • 2020-07-01
  • 1970-01-01
  • 2018-10-11
相关资源
最近更新 更多