c# - 64 位 ReadProcessMemory 访问被拒绝-6ren

c# - 64 位 ReadProcessMemory 访问被拒绝

转载作者：太空宇宙更新时间：2023-11-03 12:43:17

25

4

我试过使用 Process.EnterDebugMode() 运行它，但它也不起作用。

我想读出Notepad-memory但我不知道如何访问它，或者64位系统是否有问题。

这是我所做的:

using System;
using System.Diagnostics;
using System.Runtime.InteropServices;
using System.Text;

public class MemoryRead
{

    [DllImport("kernel32.dll")]
    static extern IntPtr OpenProcess(int dwDesiredAccess, bool bInheritHandle, int dwProcessId);

    [DllImport("kernel32.dll")]
    static extern bool ReadProcessMemory(int hProcess, Int64 lpBaseAddress, byte[] buffer, int size, ref int lpNumberOfBytesRead);

    [DllImport("kernel32.dll")]
    static extern bool CloseHandle(IntPtr hObject);

    static void Main(string[] args)
    {
        var pid = 10956; //notepad.exe
        var processHandle = OpenProcess(0x10, false, pid);

        byte[] buffer = new byte[24];
        int bytesRead = 0;
        ReadProcessMemory((int)processHandle, 0x21106B35770, buffer, buffer.Length, ref bytesRead); //0x21106B35770 is the address where "hello world" is written in notepad

        Console.WriteLine(Encoding.Unicode.GetString(buffer) +
           " (" + bytesRead.ToString() + "bytes)");
        Console.ReadLine();
        CloseHandle(processHandle);

        Console.ReadLine();
    }
}

最佳答案

您的 ReadProcessMemory 的 PInvoke 声明是不正确的(虽然它应该在 32 位系统上工作)。

从这个函数的原生声明可以看出

BOOL WINAPI ReadProcessMemory(
  _In_  HANDLE  hProcess,
  _In_  LPCVOID lpBaseAddress,
  _Out_ LPVOID  lpBuffer,
  _In_  SIZE_T  nSize,
  _Out_ SIZE_T  *lpNumberOfBytesRead
);

它的第一个参数是HANDLE，it is一个 PVOID:

A pointer to any type.

This type is declared in WinNT.h as follows:

typedef void *PVOID;

并且指向 64 位进程中任何内容的指针都是 64 位值 - IntPtr .

size 和 lpNumberOfBytesRead 参数基本上相同 - 它们在 64 位进程中也是 64 位的。

因此你的声明应该是这样的:

[[DllImport("kernel32.dll", SetLastError = true)]]
[return: MarshalAs(UnmanagedType.Bool)]
static extern Boolean ReadProcessMemory(
  [In]  IntPtr  hProcess,
  [In]  IntPtr lpBaseAddress,
  [Out] Byte[] lpBuffer,
  [In]  UIntPtr  nSize,
  [Out] out UIntPtr lpNumberOfBytesRead
);

附注:还有一点无耻的 self 推销——如果你不得不经常使用 PInvoke，那么有一个 few good recommendations我学到了很多东西。

关于c# - 64 位 ReadProcessMemory 访问被拒绝，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/38160335/

25

4

0

文章推荐： C#截取WPF应用程序的屏幕截图

文章推荐： python - 从字典中的迭代中删除 "None"

文章推荐： Apache -AH00341 : winnt_accept: Asynchronous AcceptEx failed

文章推荐： python - 如何提高嵌套 try-except-else 子句中的代码清晰度？

.net - ReadProcessMemory 的最快方法是什么？
我正在尝试在进程的内存中搜索以空字符结尾的字符串的所有实例。我用 VirtualQueryEx 枚举了所有分配的内存区域，然后我用 ReadProcessMemory 将它们读取到一个字节数组并使用这
C# ReadProcessMemory 替代方案
我试图在某个进程上 ReadProcessMemory 但它使用 ObRegisterCallbacks 来防止另一个进程在其上创建句柄(OpenProcess ).我听说有人在没有 ReadProc
c# - ReadProcessMemory - 缓冲区大小影响功能正确性
这是一个有趣的问题: 我正在使用 ReadProcessMemory(在 C# 中)编写一个简单的调试器程序。我需要遍历目标进程的整个内存空间以找到特定的字节串(FWIW，我正在使用 Boyer-Mo
c++ - ReadProcessMemory 向后读取内存？
当使用 ReadProcessMemory 读取可执行文件的内存时，我得到的前两个字节是颠倒的。代码是: SIZE_T dataRead; PIMAGE_DOS_HEADER dosHeader =
c++ - ReadProcessMemory 的缓冲区应该是什么数据类型？
在所有示例中，我看到第三个参数或 buffer 是一个整数，但我不太确定这个值应该代表什么，或者它有什么用，所以我尝试了一个 char 数组并得到随机垃圾所以我很好奇这个值可以用于什么以及放入它的最佳
C++:ReadProcessMemory() 导致崩溃
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。关于您编写的代码问题的问题必须在问题本身中描述具体问题 — 并且包括有效代码以重现它。参见 SSC
C++ ReadProcessMemory 到字节数组
我正在尝试使用 ReadProcessMemory 将动态数量的字节读入数组，然后将其返回。我根本无法让它正常工作。我当前的代码是... byte *Application::readMemory(D
Python ReadProcessMemory 没有读取足够的字节
好的，你们这些 ctypes 大师们... 我有一个 python 脚本，它每秒读取内存地址一百次。存储在该内存地址的值代表一个无符号整数。该值随时间增加。不幸的是，当它经过 2^8、2^16 或 2
c++ - ReadProcessMemory 更快
我正在制作一个应用程序，该应用程序将根据变量的值使用鼠标/键盘(宏)模拟操作。这里有我制作的 de 扫描代码: void ReadMemory(int value){ DWORD p
c++ - 调用堆栈和 ReadProcessMemory
我正在尝试读取该方法的返回地址，但读取的是另一个内存。所以我得到了帧指针，并读取了返回值的值。据我所知，我应该得到一个等于 m_stackframe.AddrReturn.Offset 的值，但是:
delphi - 使用 ReadProcessMemory 扫描整个进程内存
我正在尝试扫描整个进程内存，但没有成功...我正在做的是:对于我使用记事本的测试，所以我在那里写 %B 和这个值十六进制为:25(%) 和 42(B)。所以代码是: while (VirtualQ
windows - 是否存在 ReadProcessMemory 失败的情况？
我目前正在编写一个使用 ReadProcessMemory 的程序将一 block 内存作为文本保存到文件中。在程序中，用户将指定内存块的基地址和大小。输入验证在调用 ReadProcessMemor
c++ - 简化多个 ReadProcessMemory 调用
我最近开始尝试使用 Cheat Engine 进行一些实验，以便能够从正在运行的进程的内存中读取数据，并偶然发现了本教程的第 8 步。我想从存储在 [[[[0x00645390]+0xC]+0x14]
c++ - 为什么将 ReadProcessMemory() 与当前进程的句柄一起使用？
使用 NtQueryInformationProcess ，可以通过读取返回的 PROCESS_BASIC_INFORMATION 类型结构中的 PebBaseAddress 字段来获取当前进程基地址
c++ - ReadProcessMemory _out_ bytesread
该程序使用 ReadProcessMemory 扫描内存块以查找特定值。不幸的是，当我调用 ReadProcessMemory 时，出现错误 299。 void update_memblock(MEM
c++ - ReadProcessMemory/WriteProcessMemory 是否访问程序数据或代码？
我想知道，如果 WriteProcessMemory 或 ReadProcessMemory 函数访问程序代码或数据。谢谢。最佳答案它可以访问两者。程序文本和数据存在于相同的地址空间中，并且对于
c# - 如何使用 ReadProcessMemory 获取托盘按钮文本
我想用 C# 获取 windows7(64 位)上的所有托盘图标，但是当我使用 windows api“ReadProcessMemory”时，无法识别托盘按钮文本。下面的代码 Int
c++ - 内核模式驱动程序可以在任何进程上执行 ReadProcessMemory 吗？
我目前正在使用 KMDF 编写内核模式驱动程序(软件驱动程序)，因为我对这个主题很陌生，所以我想问你我的驱动程序是否能够在任何正在运行的进程上调用 OpenProcess 和 ReadProcessM
c++ - C ReadProcessMemory - 如何检查与进程关联的内存区域
我想读取与特定进程关联的所有内存。我知道 ReadProcessMemory，但由于我没有使用它的经验，而且我担心我只会得到一堆垃圾(垃圾...)。 a) 我如何算出，从基指针到末尾) 我可以读取的总
c++ - WINAPI ReadProcessMemory 总是相同的地址
我使用 WINAPI 函数 ReadProcessMemory 从进程(地址:0x58F03C)读取一些数据: DWORD proc_id; GetWindowThreadProcessId(hwnd

首页

博学

6Ren·AI

商城

c# - 64 位 ReadProcessMemory 访问被拒绝