gpt4 book ai didi

c# - ReadProcessMemory - 缓冲区大小影响功能正确性

转载 作者:行者123 更新时间:2023-11-30 17:18:35 30 4
gpt4 key购买 nike

这是一个有趣的问题:

我正在使用 ReadProcessMemory(在 C# 中)编写一个简单的调试器程序。我需要遍历目标进程的整个内存空间以找到特定的字节串(FWIW,我正在使用 Boyer-Moore 来节省时间,这非常酷)。

为此,我使用 ReadProcessMemory 复制大块内存,在我的程序中遍历它,然后移动到下一个 block (是的,我还考虑了值可能跨越的情况两个 block 之间的边界)。

但是,ReadProcessMemory 返回不同的值,具体取决于它被告知要复制到的缓冲区的大小。对于我的调查,我在 calc.exe (Windows 7 x64) 上使用了 ReadProcessMemory。我得到了一致的结果:

这是我的 NativeMethods P/Invoke 签名:

[DllImport("Kernel32.dll", CallingConvention=CallingConvention.Winapi, SetLastError=true)]
[return: MarshalAs(UnmanagedType.Bool)]
public static extern Boolean ReadProcessMemory(IntPtr process, void* baseAddress, void* destBuffer, IntPtr size, out IntPtr bytesRead);

这是我使用它的代码:

public IntPtr[] Search(Byte[] needle) {

OpenProcess();

List<IntPtr> ret = new List<IntPtr>();

Int32 iterations = (int)( (MaxAddr32bit + 1) / BlockSize );

IntPtr sizeOfBlock = new IntPtr( BlockSize );
IntPtr bytesRead;

byte* buffer = (byte*)Marshal.AllocHGlobal( sizeOfBlock );

for(int i=0;i<iterations;i++) {

void* blockAddr = (void*)(i * BlockSize);

bool ok = NativeMethods.ReadProcessMemory( _process, blockAddr, buffer, sizeOfBlock, out bytesRead);

if( bytesRead.ToInt64() > 0 ) {

switch(needle.Length) {
case 1: Search8 ( buffer, sizeOfBlock, ret, needle[0] ); break;
case 2: Search16( buffer, sizeOfBlock, ret, needle[0], needle[1] ); break;
case 4: Search32( buffer, sizeOfBlock, ret, needle[0], needle[1], needle[2], needle[3] ); break;
case 8: Search64( buffer, sizeOfBlock, ret, needle[0], needle[1], needle[2], needle[3], needle[4], needle[5], needle[6], needle[7] ); break;
}
}
}

Marshal.FreeHGlobal( new IntPtr(buffer) );

CloseProcess();

return ret.ToArray();
}

BlockSize 是一个常量,我一直在改变它并得到不同的结果。

BlockSize 是小于或等于 65536 的 2 的幂(我测试了 64、512、1024、2048、4096、8192、16384、32768 和 65536)然后调用 ReadProcessMemory 失败直到 blockAddr 的值为 0x10000 (65536),此时 ReadProcessMemory 返回 TRUE 并报告非零 bytesRead 值。

然而,当 BlockSize 为 20480(20*2048,又名 20KB,不是 2 的幂)时,函数仅在 blockAddr 为 0x14000(81920 ), 这很奇怪,因为 32768 和 65536 block 大小大于 20480 但当 blockAddr 为 0x10000 时返回。

当我使用更大的 block 大小(包括 128KB 和 1024KB)时,blockAddr 值甚至更高,对于 128KB,它是 0x60000,对于 1MB,它是 0x600000。

很明显,我必须将我的程序限制为 64KB 大小的内存块,以防止无法读取进程的所有内存的风险,这意味着我的程序将不再正确,但为什么应该使用简单的缓冲区大小影响程序正确性? Windows 所做的只是简单的内存复制。

FWIW,我运行的是 Windows 7 x64。我的程序是用 AnyCPU 编译的 C#,因此它以 x64 运行。我的目标程序是 C:\Windows\calc.exe,它也是 x64。

最佳答案

不要猜测这个。使用 VirtualQueryEx()找出内存在进程中的映射位置以及 block 的大小。

关于c# - ReadProcessMemory - 缓冲区大小影响功能正确性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5616173/

30 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com