内存修改

溯影

《Windows程序设计》 人民邮电出版社》 王艳平编著

小弟今天学习了一下这个第二章的最后一课，是一个类似于金山游侠的内存查找和修改的程序

还请大神们多多指教

1. #include <stdlib.h>
   
2. #include <stdio.h>
   
3. #include <windows.h>
   
4. #include <tlhelp32.h>
   
5. #include <stdbool.h>
   
6. 
   
7. BOOL FindFirst(DWORD dwValue);
   
8. BOOL FindNext(DWORD dwValue);
   
9. DWORD g_arList[1024];// 地址列表
   
10. int g_nListCnt;// 有效地址的个数
    
11. HANDLE g_hProcess;// 目标进程句柄
    
12. 
    
13. BOOL CompareAPage(DWORD dwBaseAddr, DWORD dwValue){
    
14.         // 读取一页内存
    
15.         BYTE arBytes[4096];
    
16.         if (!ReadProcessMemory(g_hProcess, (LPVOID)dwBaseAddr, arBytes, 4096, NULL)){
    
17.                 return FALSE;
    
18.         }
    
19. 
    
20.         DWORD *pdw;
    
21.         for (int i = 0; i < (int)4 * 1024 - 3; i++){
    
22.                 pdw = (DWORD*)&arBytes[i];
    
23.                 if (pdw[0] == dwValue){
    
24.                         if (g_nListCnt >= 1024){
    
25.                                 return FALSE;
    
26.                         }
    
27.                         g_arList[g_nListCnt++] = dwBaseAddr + i;
    
28.                 }
    
29.         }
    
30.         return TRUE;
    
31. }
    
32. 
    
33. BOOL FindFirst(DWORD dwValue){
    
34.         const DWORD dwOneGB = 1024 * 1024 * 1024;
    
35.         const DWORD dwOnePage = 4 * 1024;
    
36.         if (g_hProcess == NULL){
    
37.                 return FALSE;
    
38.         }
    
39. 
    
40.         DWORD dwBase;
    
41.         OSVERSIONINFO vi = { sizeof(vi) };
    
42.         GetVersionEx(&vi);
    
43.         // Windows版本判断
    
44.         if (vi.dwPlatformId == VER_PLATFORM_WIN32_WINDOWS){
    
45.                 dwBase = 4 * 1024 * 1024;// Windows 98系列，4MB
    
46.         }
    
47.         else{
    
48.                 dwBase = 64 * 1024;// Windows NT系列 ，64KB
    
49.         }
    
50. 
    
51.         //在开始地址到2GB的地址空间进行查找
    
52.         for (; dwBase < 2 * dwOneGB; dwBase += dwOnePage){
    
53.                 CompareAPage(dwBase, dwValue);
    
54.         }
    
55.         return TRUE;
    
56. }
    
57. 
    
58. void ShowList(){
    
59.         for (int i = 0; i < g_nListCnt; i++){
    
60.                 printf("%08lX\n", g_arList[i]);
    
61.         }
    
62. }
    
63. 
    
64. // 接下来的读取就是都在那个数组里面比较进程的内存地址了
    
65. BOOL FindNext(DWORD dwValue){
    
66.         int nOrgCnt = g_nListCnt;
    
67.         g_nListCnt = 0;
    
68. 
    
69.         BOOL bRet = FALSE;
    
70.         DWORD dwReadValue;
    
71.         for (int i = 0; i < nOrgCnt; i++){
    
72.                 if (ReadProcessMemory(g_hProcess,
    
73.                         (LPVOID)g_arList[i],
    
74.                         &dwReadValue,
    
75.                         sizeof(DWORD),
    
76.                         NULL)){
    
77.                         if (dwReadValue == dwValue){
    
78.                                 g_arList[g_nListCnt++] = g_arList[i];// 每一次都是一层过滤
    
79.                                 bRet = TRUE;
    
80.                         }
    
81.                 }
    
82.         }
    
83.         return bRet;
    
84. }
    
85. 
    
86. BOOL WriteMemory(DWORD dwAddr, DWORD dwValue){
    
87.         return WriteProcessMemory(
    
88.                 g_hProcess,
    
89.                 (LPVOID)dwAddr,
    
90.                 &dwValue,
    
91.                 sizeof(DWORD),
    
92.                 NULL);
    
93. }
    
94. 
    
95. 
    
96. 
    
97. 
    
98. int main(int argc, char* argv[]){
    
99.         char *szCommandLine = "C://Users//pc//Desktop//testor.exe";
    
100.         STARTUPINFO si = { sizeof(si) };
     
101.         PROCESS_INFORMATION pi;
     
102.         si.dwFlags = STARTF_USESHOWWINDOW;
     
103.         si.wShowWindow = TRUE;
     
104.         //创建进程
     
105.         CreateProcess(
     
106.                 NULL,
     
107.                 szCommandLine,
     
108.                 NULL,
     
109.                 NULL,
     
110.                 FALSE,
     
111.                 CREATE_NEW_CONSOLE,
     
112.                 NULL,
     
113.                 NULL,
     
114.                 &si,
     
115.                 &pi);
     
116. 
     
117.         CloseHandle(pi.hThread);//不用主线程的话关闭
     
118. 
     
119.         g_hProcess = pi.hProcess;//进程
     
120. 
     
121.         int iVal;
     
122.         printf("Input val:");
     
123.         scanf("%d", &iVal);
     
124.         //进行第一次查找
     
125.         FindFirst(iVal);
     
126. 
     
127.         //打印出搜索结果
     
128.         ShowList();
     
129.         while (g_nListCnt > 1){
     
130.                 printf("Input val = ");
     
131.                 scanf("%d", &iVal);
     
132.                 FindNext(iVal);
     
133.                 ShowList();
     
134.         }
     
135. 
     
136.         printf("New value = ");
     
137.         scanf("%d", &iVal);
     
138.         if (WriteMemory(g_arList[0], iVal)){
     
139.                 printf("Write data successfully\n");
     
140.         }
     
141.         CloseHandle(g_hProcess);
     
142.         return 0;
     
143. }
     

复制代码

下面这个是上面例子程序中的那个testor.exe程序

1. #include <stdio.h>
   
2. int g_nNum;
   
3. int main(int argc, char* argv[]){
   
4.         int i = 198;
   
5.         g_nNum = 1003;
   
6.         while (1){
   
7.                 //输出变量的值和地址
   
8.                 printf("i=%d,addr=%08lX       g_nNUm=%d,addr=%08lX\n", ++i, &i, --g_nNum, &g_nNum);
   
9.                 getchar();
   
10.         }
    
11.         return 0;
    
12. }
    

复制代码