个人中心
文章发布
退出
作者热门文章
- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
26
4
我使用 WINAPI 函数 ReadProcessMemory 从进程(地址:0x58F03C)读取一些数据:
DWORD proc_id;
GetWindowThreadProcessId(hwnd, &proc_id);
HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, proc_id);
int value=0;
while (1)
{
ReadProcessMemory(hProcess, (LPVOID)0x58F03C, &value, sizeof(value), 0);
cout << "val: " << value << endl;
}
由于每次我重新启动进程时地址都会改变,我想知道是否有办法始终获得相同的地址?必须有一个,因为我看到很多“培训师计划”能够做到这一点。他们如何获得正确的地址值以读取/写入?
目前,我通过使用 CheatEngine 扫描一个值来获取它,并执行下一次扫描以获取更改的值。
谢谢。
最佳答案
您遇到动态内存分配问题。在 CheatEngine 世界中,这些被称为“指针”。
考虑内存中的一些数据(例如 uint32_t/DWORD)是 malloc 的。如果您找到了数据的地址,则无法保证您下次启动进程时,地址会是相同的。这是因为 malloc 返回的内存可能位于内存中的不同位置。
用来击败动态内存分配的技巧是找到一个静态堆地址,它可以引导您找到您感兴趣的值的地址。CheatEngine 教程向您展示了如何做到这一点。这同样适用于多级指针。在更高的层次上,这对应于动态分配的内存,它包含指向其他一些动态分配的内存的指针,等等。
CheatEngine中获取指针的方法大致是这样的:
代码通常看起来像这样:
mov eax, 0x1234ABCD
dec dword ptr ds:[eax+0x85]
这可能对应于一些代码,当你被敌人击中时,它会减少你的生命值。在这种情况下,0x1234ABCD 是指针,而 0x85 是偏移量。在 C 代码中,这可能会发生:
struct some_struct* blah = malloc(...);
...
blah->HP--;
0x1234ABCD 将是 blah 的地址。 HP 值位于 blah 指向的 block 内的某个位置。内存块的偏移量是 0x85。然后,如果您正在编写培训师,您将读取 0x1234ABCD 处的 DWORD(QWORD,如果是 64 位)并将该值加 0x85。这将为您提供 HP 值的地址。
关于c++ - WINAPI ReadProcessMemory 总是相同的地址,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10669664/
26
4
0
我正在尝试在进程的内存中搜索以空字符结尾的字符串的所有实例。我用 VirtualQueryEx 枚举了所有分配的内存区域,然后我用 ReadProcessMemory 将它们读取到一个字节数组并使用这
我试图在某个进程上 ReadProcessMemory 但它使用 ObRegisterCallbacks 来防止另一个进程在其上创建句柄(OpenProcess ).我听说有人在没有 ReadProc
这是一个有趣的问题: 我正在使用 ReadProcessMemory(在 C# 中)编写一个简单的调试器程序。我需要遍历目标进程的整个内存空间以找到特定的字节串(FWIW,我正在使用 Boyer-Mo
当使用 ReadProcessMemory 读取可执行文件的内存时,我得到的前两个字节是颠倒的。代码是: SIZE_T dataRead; PIMAGE_DOS_HEADER dosHeader =
在所有示例中,我看到第三个参数或 buffer 是一个整数,但我不太确定这个值应该代表什么,或者它有什么用,所以我尝试了一个 char 数组并得到随机垃圾所以我很好奇这个值可以用于什么以及放入它的最佳
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 关于您编写的代码问题的问题必须在问题本身中描述具体问题 — 并且包括有效代码 以重现它。参见 SSC
我正在尝试使用 ReadProcessMemory 将动态数量的字节读入数组,然后将其返回。我根本无法让它正常工作。我当前的代码是... byte *Application::readMemory(D
好的,你们这些 ctypes 大师们... 我有一个 python 脚本,它每秒读取内存地址一百次。存储在该内存地址的值代表一个无符号整数。该值随时间增加。不幸的是,当它经过 2^8、2^16 或 2
我正在制作一个应用程序,该应用程序将根据变量的值使用鼠标/键盘(宏)模拟操作。 这里有我制作的 de 扫描代码: void ReadMemory(int value){ DWORD p
我正在尝试读取该方法的返回地址,但读取的是另一个内存。所以我得到了帧指针,并读取了返回值的值。据我所知,我应该得到一个等于 m_stackframe.AddrReturn.Offset 的值,但是:
我正在尝试扫描整个进程内存,但没有成功...我正在做的是:对于我使用记事本的测试,所以我在那里写 %B 和这个值十六进制为:25(%) 和 42(B)。所以代码是: while (VirtualQ
我目前正在编写一个使用 ReadProcessMemory 的程序将一 block 内存作为文本保存到文件中。在程序中,用户将指定内存块的基地址和大小。输入验证在调用 ReadProcessMemor
我最近开始尝试使用 Cheat Engine 进行一些实验,以便能够从正在运行的进程的内存中读取数据,并偶然发现了本教程的第 8 步。我想从存储在 [[[[0x00645390]+0xC]+0x14]
使用 NtQueryInformationProcess ,可以通过读取返回的 PROCESS_BASIC_INFORMATION 类型结构中的 PebBaseAddress 字段来获取当前进程基地址
该程序使用 ReadProcessMemory 扫描内存块以查找特定值。不幸的是,当我调用 ReadProcessMemory 时,出现错误 299。 void update_memblock(MEM
我想知道,如果 WriteProcessMemory 或 ReadProcessMemory 函数访问程序代码或数据。谢谢。 最佳答案 它可以访问两者。 程序文本和数据存在于相同的地址空间中,并且对于
我想用 C# 获取 windows7(64 位)上的所有托盘图标,但是当我使用 windows api“ReadProcessMemory”时,无法识别托盘按钮文本。下面的代码 Int
我目前正在使用 KMDF 编写内核模式驱动程序(软件驱动程序),因为我对这个主题很陌生,所以我想问你我的驱动程序是否能够在任何正在运行的进程上调用 OpenProcess 和 ReadProcessM
我想读取与特定进程关联的所有内存。我知道 ReadProcessMemory,但由于我没有使用它的经验,而且我担心我只会得到一堆垃圾(垃圾...)。 a) 我如何算出,从基指针到末尾) 我可以读取的总
我使用 WINAPI 函数 ReadProcessMemory 从进程(地址:0x58F03C)读取一些数据: DWORD proc_id; GetWindowThreadProcessId(hwnd
我是一名优秀的程序员,十分优秀!