个人中心
文章发布
退出
作者热门文章
- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
26
4
我正在尝试读取该方法的返回地址,但读取的是另一个内存。所以我得到了帧指针,并读取了返回值的值。据我所知,我应该得到一个等于 m_stackframe.AddrReturn.Offset 的值,但是:
//Reading the top method in the stack.bool ok = StackWalk64(IMAGE_FILE_MACHINE_I386,m_processInfo.Handle ,m_threadInfo.Handle, &m_stackframe,&m_threadContext, 0,SymFunctionTableAccess64,SymGetModuleBase64,0);// the Esp register is the base address of the stack, right?DWORD baseAddressOfCallstack = m_threadContext.Esp;// Getting the absolute address by adding the ESP to the stack frame address. DWORD absoluteAddressInCallstack = m_stackframe.AddrFrame.Offset + baseAddressOfCallstack ;// Converting it to a pointer. DWORD* addressInCallStack = (DWORD*)absoluteAddressInCallstack; DWORD val = 0; SIZE_T bytesRead = 0;// and trying to read it from the process... ok = ReadProcessMemory(m_processInfo.Handle, addressInCallStack, (void*)&val, sizeof(DWORD),&bytesRead);
我在 Windows 上使用 C++。谁能告诉我它有什么问题吗?谢谢:)
最佳答案
返回地址位于当前栈帧中的 EBP + 4。
每当一个新函数被调用时,一个新的栈帧就会被建立,旧的 ESP(栈指针)被移动到 EBP(基指针)。通过减去新的堆栈指针在堆栈上创建局部变量。传递的参数在调用之前以相反的顺序推送。从基指针你可以得到返回地址。
关于c++ - 调用堆栈和 ReadProcessMemory,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3807636/
26
4
0
我正在尝试在进程的内存中搜索以空字符结尾的字符串的所有实例。我用 VirtualQueryEx 枚举了所有分配的内存区域,然后我用 ReadProcessMemory 将它们读取到一个字节数组并使用这
我试图在某个进程上 ReadProcessMemory 但它使用 ObRegisterCallbacks 来防止另一个进程在其上创建句柄(OpenProcess ).我听说有人在没有 ReadProc
这是一个有趣的问题: 我正在使用 ReadProcessMemory(在 C# 中)编写一个简单的调试器程序。我需要遍历目标进程的整个内存空间以找到特定的字节串(FWIW,我正在使用 Boyer-Mo
当使用 ReadProcessMemory 读取可执行文件的内存时,我得到的前两个字节是颠倒的。代码是: SIZE_T dataRead; PIMAGE_DOS_HEADER dosHeader =
在所有示例中,我看到第三个参数或 buffer 是一个整数,但我不太确定这个值应该代表什么,或者它有什么用,所以我尝试了一个 char 数组并得到随机垃圾所以我很好奇这个值可以用于什么以及放入它的最佳
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 关于您编写的代码问题的问题必须在问题本身中描述具体问题 — 并且包括有效代码 以重现它。参见 SSC
我正在尝试使用 ReadProcessMemory 将动态数量的字节读入数组,然后将其返回。我根本无法让它正常工作。我当前的代码是... byte *Application::readMemory(D
好的,你们这些 ctypes 大师们... 我有一个 python 脚本,它每秒读取内存地址一百次。存储在该内存地址的值代表一个无符号整数。该值随时间增加。不幸的是,当它经过 2^8、2^16 或 2
我正在制作一个应用程序,该应用程序将根据变量的值使用鼠标/键盘(宏)模拟操作。 这里有我制作的 de 扫描代码: void ReadMemory(int value){ DWORD p
我正在尝试读取该方法的返回地址,但读取的是另一个内存。所以我得到了帧指针,并读取了返回值的值。据我所知,我应该得到一个等于 m_stackframe.AddrReturn.Offset 的值,但是:
我正在尝试扫描整个进程内存,但没有成功...我正在做的是:对于我使用记事本的测试,所以我在那里写 %B 和这个值十六进制为:25(%) 和 42(B)。所以代码是: while (VirtualQ
我目前正在编写一个使用 ReadProcessMemory 的程序将一 block 内存作为文本保存到文件中。在程序中,用户将指定内存块的基地址和大小。输入验证在调用 ReadProcessMemor
我最近开始尝试使用 Cheat Engine 进行一些实验,以便能够从正在运行的进程的内存中读取数据,并偶然发现了本教程的第 8 步。我想从存储在 [[[[0x00645390]+0xC]+0x14]
使用 NtQueryInformationProcess ,可以通过读取返回的 PROCESS_BASIC_INFORMATION 类型结构中的 PebBaseAddress 字段来获取当前进程基地址
该程序使用 ReadProcessMemory 扫描内存块以查找特定值。不幸的是,当我调用 ReadProcessMemory 时,出现错误 299。 void update_memblock(MEM
我想知道,如果 WriteProcessMemory 或 ReadProcessMemory 函数访问程序代码或数据。谢谢。 最佳答案 它可以访问两者。 程序文本和数据存在于相同的地址空间中,并且对于
我想用 C# 获取 windows7(64 位)上的所有托盘图标,但是当我使用 windows api“ReadProcessMemory”时,无法识别托盘按钮文本。下面的代码 Int
我目前正在使用 KMDF 编写内核模式驱动程序(软件驱动程序),因为我对这个主题很陌生,所以我想问你我的驱动程序是否能够在任何正在运行的进程上调用 OpenProcess 和 ReadProcessM
我想读取与特定进程关联的所有内存。我知道 ReadProcessMemory,但由于我没有使用它的经验,而且我担心我只会得到一堆垃圾(垃圾...)。 a) 我如何算出,从基指针到末尾) 我可以读取的总
我使用 WINAPI 函数 ReadProcessMemory 从进程(地址:0x58F03C)读取一些数据: DWORD proc_id; GetWindowThreadProcessId(hwnd
我是一名优秀的程序员,十分优秀!