c# - ReadProcessMemory - 缓冲区大小影响功能正确性

Question

这是一个有趣的问题:

我正在使用 ReadProcessMemory(在 C# 中)编写一个简单的调试器程序。我需要遍历目标进程的整个内存空间以找到特定的字节串(FWIW，我正在使用 Boyer-Moore 来节省时间，这非常酷)。

为此，我使用 ReadProcessMemory 复制大块内存，在我的程序中遍历它，然后移动到下一个 block (是的，我还考虑了值可能跨越的情况两个 block 之间的边界)。

但是，ReadProcessMemory 返回不同的值，具体取决于它被告知要复制到的缓冲区的大小。对于我的调查，我在 calc.exe (Windows 7 x64) 上使用了 ReadProcessMemory。我得到了一致的结果:

这是我的 NativeMethods P/Invoke 签名:

[DllImport("Kernel32.dll", CallingConvention=CallingConvention.Winapi, SetLastError=true)]
[return: MarshalAs(UnmanagedType.Bool)]
public static extern Boolean ReadProcessMemory(IntPtr process, void* baseAddress, void* destBuffer, IntPtr size, out IntPtr bytesRead);

这是我使用它的代码:

public IntPtr[] Search(Byte[] needle) {

    OpenProcess();

    List<IntPtr> ret = new List<IntPtr>();

    Int32 iterations = (int)( (MaxAddr32bit + 1) / BlockSize );

    IntPtr sizeOfBlock = new IntPtr( BlockSize );
    IntPtr bytesRead;

    byte* buffer = (byte*)Marshal.AllocHGlobal( sizeOfBlock );

    for(int i=0;i<iterations;i++) {

        void* blockAddr = (void*)(i * BlockSize);

        bool ok = NativeMethods.ReadProcessMemory( _process, blockAddr, buffer, sizeOfBlock, out bytesRead);

        if( bytesRead.ToInt64() > 0 ) {

            switch(needle.Length) {
                case  1: Search8 ( buffer, sizeOfBlock, ret, needle[0] ); break;
                case  2: Search16( buffer, sizeOfBlock, ret, needle[0], needle[1] ); break;
                case  4: Search32( buffer, sizeOfBlock, ret, needle[0], needle[1], needle[2], needle[3] ); break;
                case  8: Search64( buffer, sizeOfBlock, ret, needle[0], needle[1], needle[2], needle[3],  needle[4], needle[5], needle[6], needle[7] ); break;
            }
        }
    }

    Marshal.FreeHGlobal( new IntPtr(buffer) );

    CloseProcess();

    return ret.ToArray();
}

BlockSize 是一个常量，我一直在改变它并得到不同的结果。

当 BlockSize 是小于或等于 65536 的 2 的幂(我测试了 64、512、1024、2048、4096、8192、16384、32768 和 65536)然后调用 ReadProcessMemory 失败直到 blockAddr 的值为 0x10000 (65536)，此时 ReadProcessMemory 返回 TRUE 并报告非零 bytesRead 值。

然而，当 BlockSize 为 20480(20*2048，又名 20KB，不是 2 的幂)时，函数仅在 blockAddr 为 0x14000(81920 ), 这很奇怪，因为 32768 和 65536 block 大小大于 20480 但当 blockAddr 为 0x10000 时返回。

当我使用更大的 block 大小(包括 128KB 和 1024KB)时，blockAddr 值甚至更高，对于 128KB，它是 0x60000，对于 1MB，它是 0x600000。

很明显，我必须将我的程序限制为 64KB 大小的内存块，以防止无法读取进程的所有内存的风险，这意味着我的程序将不再正确，但为什么应该使用简单的缓冲区大小影响程序正确性？ Windows 所做的只是简单的内存复制。

FWIW，我运行的是 Windows 7 x64。我的程序是用 AnyCPU 编译的 C#，因此它以 x64 运行。我的目标程序是 C:\Windows\calc.exe，它也是 x64。

Answer 1

不要猜测这个。使用 VirtualQueryEx()找出内存在进程中的映射位置以及 block 的大小。