http://bbs.csdn.net/topics/240047505
 
求实例:
打开计算器,输入1234,运行这个程序,计算器刚输入的1234变为5678。(要求直接写内存,不要模拟键盘输入。)
(求这个程序)

查了好多资料,都是说可以用OpenProcess,ReadProcessMemory、WriteProcessMemory,但是我自己试了读不到,所以只好厚颜求助高手顺手做一个完整的例程以供学习。

我用ce跟了一下,计算器当前显示的字符的临时缓冲在0x01014dd4这个位置,如果高手懒得去找地址在哪里,就直接用这个地址做:0x01014dd4。
unicode格式:
01014dd4 31 00 32 00 33 00 34 00 00 00
           1      2     3     4 

谢谢了。   
 

100分,只求实例,不用再告诉我其他方面的道理,谢谢!

第一个能编译运行的回答给全分。
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
回复次数:62
 
7
4
更多勋章
#1 得分:1回复于: 2008-07-01 14:24:38
好好睡觉,好好玩。该玩什么玩什么。
如果您对CSDN论坛有意见和建议 请直接在本帖指教
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
 
7
4
更多勋章
#2 得分:0回复于: 2008-07-01 14:25:32
你这个修改,比改股票的价格还难。
关注CSDN社区微信 投稿有礼了!
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#3 得分:1回复于: 2008-07-02 02:23:52
写游戏外挂的吧,关注一下
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#4 得分:20回复于: 2008-07-02 12:26:34
引用楼主 jenhon 的帖子:
求实例: 
打开计算器,输入1234,运行这个程序,计算器刚输入的1234变为5678。(要求直接写内存,不要模拟键盘输入。) 
(求这个程序) 

查了好多资料,都是说可以用OpenProcess,ReadProcessMemory、WriteProcessMemory,但是我自己试了读不到,所以只好厚颜求助高手顺手做一个完整的例程以供学习。 

我用ce跟了一下,计算器当前显示的字符的临时缓冲在0x01014dd4这个位置,如果高手懒得去找地址在哪里,就直接用这个地…
计算器当前显示的字符的临时缓冲在0x01014dd4这个位置

0x01014dd4 在不同的pc不同的环境下此地址可能不一样
01014dd4 31 00 32 00 33 00 34 00 00 00 他应该是字串格式,可能是getWindowText..的临时缓存,真实的变量(储存原始输入数据)地址并不一定在这里,即使改掉这里也只是显示界面上面的被改掉,而真实的数据还是原来的

源码网上很多
基本过程大概都是这样,找到目标进程-->提升权限-->打开目标进程-->读写目标进程内存-->关闭打开进程的操作句柄-->权限复原

Delphi/Pascal code
 
?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
var
  hRemoteProcess, hRemoteThread: THandle;
  pfnStartAddr: TFNThreadStartRoutine;
  memSize, WriteSize, lpThreadId: Cardinal;
begin
  Result := false;
  // 调整权限,使程序可以访问其他进程的内存空间
  if EnableDebugPriv then
  begin
    //打开远程线程 PROCESS_ALL_ACCESS 参数表示打开所有的权限
    hRemoteProcess := OpenProcess(PROCESS_ALL_ACCESS, false, dwRemoteProcessId);
 
    try
      WriteProcessMemory(hRemoteProcess, psznewValueAddr{(新值的地址)},
          pszRemoteValueAddr{(旧值的地址原进程中)},memSize{内容长度}, WriteSize);
    finally
      // 释放句柄
      CloseHandle(hRemoteProcess);
    end;
  end;
end;
 
function EnableDebugPriv: Boolean;
var
  hToken: THandle;
  tp: TTokenPrivileges;
  rl: Cardinal;
begin
  Result := false;
 
  //打开进程令牌环
  OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES or TOKEN_QUERY,
    hToken);
 
  //获得进程本地唯一ID
  if LookupPrivilegeValue(nil'SeDebugPrivilege', tp.Privileges[0].Luid) then
  begin
    tp.PrivilegeCount           := 1;
    tp.Privileges[0].Attributes := SE_PRIVILEGE_ENABLED;
    //调整权限
    Result := AdjustTokenPrivileges(hToken, false, tp, SizeOf(tp), nil, rl);
  end;
end;


更详细的解释你可以去http://hi.baidu.com/pop4u/blog/item/35c83af3a24ca554342accfc.html看
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#5 得分:0回复于: 2008-07-02 13:48:12
谢谢楼上的回答,你说明了怎么注入一个进程,之后没有谈到改动部分,麻烦继续后部分好吗?
如题,我是求实例。

另外,很多人都认为0x01014dd4这个地址是变化的,我想说明一下:我用这个版本的xp,安装了不同配置的机器,都是0x01014dd4,我认为这个地址应该跟 计算器 的版本有关系。

谢谢了。
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#6 得分:0回复于: 2008-07-02 13:54:11
“01014dd4 31 00 32 00 33 00 34 00 00 00 他应该是字串格式,可能是getWindowText..的临时缓存,真实的变量(储存原始输入数据)地址并不一定在这里,即使改掉这里也只是显示界面上面的被改掉,而真实的数据还是原来的 ”

的确是这样的,这个字符串是显示的用的,但是,每次点 +-*/ 时,计算器确实从这里取数去运算的,所以也会起到改变结果的作用。

你也知道,我只是想通过一个最常见的方式来学习怎么改内容。

谢谢你的细心。
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#7 得分:0回复于: 2008-07-04 13:59:20
期待高手。

知道自己的要求有点过了,还是希望有高手帮助。

再加200分,另外开贴给分。

短信给我答案都可以。

谢谢了。
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
 
#8 得分:30回复于: 2008-07-06 08:48:56
引用 7 楼 jenhon 的回复:
期待高手。 

知道自己的要求有点过了,还是希望有高手帮助。 

再加200分,另外开贴给分。 

短信给我答案都可以。 

谢谢了。

我是一个比较在乎分的人,你这样说却实诱惑住了我。

看看这个是不是你所需要的:

http://www.mwymwy.cn/jsq.rar
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#9 得分:1回复于: 2008-07-06 10:29:23
第一次看到黑蝴蝶出手,吼吼,还真能修改,看来黑蝴蝶是个多面手啊,调试也是专业人士……
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#10 得分:5回复于: 2008-07-06 11:09:05
直接写到输入栏里了,
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#11 得分:0回复于: 2008-07-06 14:17:22
引用 8 楼 mwy654321 的回复:
引用 7 楼 jenhon 的回复:
期待高手。 

知道自己的要求有点过了,还是希望有高手帮助。 

再加200分,另外开贴给分。 

短信给我答案都可以。 

谢谢了。 
 

我是一个比较在乎分的人,你这样说却实诱惑住了我。 

看看这个是不是你所需要的: 

http://www.mwymwy.cn/jsq.rar
写的不完美,不能直接参与计算.稍后放一个完美的.
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#12 得分:0回复于: 2008-07-06 14:20:00
引用 2 楼 unsigned 的回复:
你这个修改,比改股票的价格还难。
引用老头子的一句名言:naive..
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#13 得分:0回复于: 2008-07-06 15:16:28
马甲暴露了……
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#14 得分:0回复于: 2008-07-06 16:23:27
http://www.mgnet.cn/CalcEdit.rar
看看完美版的.说明下这个不是模拟按键实现的,也不是修改内存实现的.要代码再说.
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#15 得分:0回复于: 2008-07-06 16:37:31
另外可以直接实现显示是12345但实际值是67890或其它任何值
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
 
 
 
更多勋章
#16 得分:1回复于: 2008-07-06 18:59:18
要是直接修改计算器的话,倒是简单
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
 
#17 得分:1回复于: 2008-07-06 20:29:23
路过~俺对分数不咋敏感的
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#18 得分:1回复于: 2008-07-06 21:38:17
期待哪位高手能说说实现原理.
另:经实测两个高手的实例都仅对xp下的计算器有效,但对于其它系统的计算器无效(且出现未知错误)
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#19 得分:0回复于: 2008-07-06 21:42:45
引用 18 楼 xuancaoer 的回复:
期待哪位高手能说说实现原理. 
另:经实测两个高手的实例都仅对xp下的计算器有效,但对于其它系统的计算器无效(且出现未知错误)
可以做成任何系统下都有效的,这个不是问题.默认支持系统就是XP SP3
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#20 得分:0回复于: 2008-07-07 04:27:56
感谢大家的关注,2个 exe 我都运行过了,确实是我需要的。

愤怒的黑蝴蝶 和 惊动党中央 是不是同一个人啊?有点纳闷....

如果不是同一人,按照承诺,我只能把分全部给蝴蝶的,惊动党中央 就白忙。

分由蝴蝶来分配吧,此贴100作为顶贴分,分数是给另外的三贴300的分,应该没问题吧?

给答案的方式随便你安排吧,短信都行。

谢谢了。
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#21 得分:0回复于: 2008-07-07 04:34:56
发表于:2008-07-06 16:23:2714楼 得分:0 
http://www.mgnet.cn/CalcEdit.rar 
看看完美版的.说明下这个不是模拟按键实现的,也不是修改内存实现的.要代码再说. 



555555555.....刚看到这句话——“也不是修改内存实现的...”,有点不是很符合要求哦。
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#22 得分:0回复于: 2008-07-07 04:37:20
蝴蝶你的是通过修改内存的吧?

如果确定是,我先给你分吧。
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
 
#23 得分:0回复于: 2008-07-07 09:23:49
我和“惊动党中央”不是同一个人,我不认识他,他的实现原理可能与我不同。

你说按道理应该把分给我,不过他的EXE效果比我的好(他的能参与计算),所以,这个贴子我最多只能30%分,70%的分给他,不能让他白忙。

希望他能贴出代码,我也学习一下!

首先肯定的一点是,他绝对不是用keybd_event来实现的,但有可能是用SendMessage发送按键消息,比如WM_KEYDOWN或WM_CHAR消息,如果是这样的话,那么他的代码还没有我的精短。这种代码,我觉得我应该拿到70%的分。
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#24 得分:1回复于: 2008-07-07 09:48:06
路过帮顶
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#25 得分:0回复于: 2008-07-07 10:43:00
引用 23 楼 mwy654321 的回复:
我和“惊动党中央”不是同一个人,我不认识他,他的实现原理可能与我不同。 

你说按道理应该把分给我,不过他的EXE效果比我的好(他的能参与计算),所以,这个贴子我最多只能30%分,70%的分给他,不能让他白忙。 

希望他能贴出代码,我也学习一下! 

首先肯定的一点是,他绝对不是用keybd_event来实现的,但有可能是用SendMessage发送按键消息,比如WM_KEYDOWN或WM_CHAR消息,如果是这样的话,那么他的代码还没有我的…
我从来不喜欢用SendMessge来实现这类东西,我使用的是远程执行方式CreateRemoteThread来实现,用SendMessge应该也能实现只是这样有局限性,所以我原则用了远程执行方式来完成.另外分数我不是那么看的重,给不给楼主说了算.
代码贴出:

Delphi/Pascal code
 
?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
function EnabledDebugPrivilege(const Enabled: Boolean): Boolean;
var
  hTk: THandle;
  rtnTemp: Dword;
  TokenPri: TOKEN_PRIVILEGES;
const
  SE_DEBUG = 'SeDebugPrivilege';
begin
  Result := False;
  if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, hTk)) then
  begin
    TokenPri.PrivilegeCount := 1;
    LookupPrivilegeValue(nil, SE_DEBUG, TokenPri.Privileges[0].Luid);
 
    if Enabled then
      TokenPri.Privileges[0].Attributes := SE_PRIVILEGE_ENABLED
    else
      TokenPri.Privileges[0].Attributes := 0;
    rtnTemp := 0;
    AdjustTokenPrivileges(hTk, False, TokenPri, sizeof(TokenPri), nil, rtnTemp);
    Result := GetLastError = ERROR_SUCCESS;
    CloseHandle(hTk);
  end;
end;
 
 
procedure GetMyProcessID(const AFilename: stringconst PathMatch: Booleanvar ProcessID: DWORD);
var
  lppe: TProcessEntry32;
  SsHandle: Thandle;
  FoundAProc, FoundOK: boolean;
begin
  ProcessID := 0;
  SsHandle := CreateToolHelp32SnapShot(TH32CS_SnapProcess, 0);
  lppe.dwSize := sizeof(TProcessEntry32);
  FoundAProc := Process32First(Sshandle, lppe);
  while FoundAProc do
  begin
    if PathMatch then
      FoundOK := AnsiStricomp(lppe.szExefile, PChar(AFilename)) = 0
    else
      FoundOK := AnsiStricomp(PChar(ExtractFilename(lppe.szExefile)), PChar(ExtractFilename(AFilename))) = 0;
    if FoundOK then
    begin
      ProcessID := lppe.th32ProcessID;
      break;
    end;
    FoundAProc := Process32Next(SsHandle, lppe);
  end;
  CloseHandle(SsHandle);
end;
 
procedure TMainForm.EditCalcNum(Num: Byte);
type
  TInput = packed record
    cmd: Byte;
    Data: Dword;
    Push: byte;
    cmd2: Byte;
    Data2: Dword;
    cmd3: Byte;
  end;
var
  hRemoteProcess: THandle;
  dwRemoteProcessId: DWORD;
  iReturnCode: Boolean;
  TempVar: DWORD;
  Input: TInput;
begin
  EnabledDebugPrivilege(True);
  GetMyProcessID('calc.exe'False, dwRemoteProcessID);
  if dwRemoteProcessID = 0 then
  begin
    MessageBox(Handle, '未找到计算器,请先启动计算器''错误', MB_OK +
      MB_ICONSTOP + MB_DEFBUTTON2);
    exit;
  end;
  hRemoteProcess := OpenProcess(PROCESS_CREATE_THREAD + {允许远程创建线程}
    PROCESS_VM_OPERATION + {允许远程VM操作}
    PROCESS_VM_WRITE, {允许远程VM写}
    FALSE, dwRemoteProcessId);
 
  if FRemoteMem = nil then FRemoteMem := VirtualAllocEx(hRemoteProcess, nil$20, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
 
  TempVar := 0;
  Input.cmd := $B8;
  Input.Data := $7C + Num;
  Input.Push := $50;
  Input.cmd2 := $E8;
  Input.Data2 := $0100264B - (dword(FRemoteMem) + 11);
  Input.cmd3 := $C3;
 
  iReturnCode := WriteProcessMemory(hRemoteProcess, FRemoteMem, @Input, $20, TempVar);
  if iReturnCode then
  begin
    TempVar := 0;
    CreateRemoteThread(hRemoteProcess, nil0, FRemoteMem, nil0, TempVar);
  end;
 
end;
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#26 得分:0回复于: 2008-07-07 10:45:38
上面有些参数是精心构造的,如果不同版本的计算器有些值需要修改,其实可以做成自动适应所有版本计算器方法是定位计算器特征码实现,具体实现方式有一大堆这里就不说了.
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#27 得分:0回复于: 2008-07-07 10:54:27
引用 21 楼 jenhon 的回复:
发表于:2008-07-06 16:23:2714楼 得分:0 
http://www.mgnet.cn/CalcEdit.rar 
看看完美版的.说明下这个不是模拟按键实现的,也不是修改内存实现的.要代码再说. 


555555555.....刚看到这句话——“也不是修改内存实现的...”,有点不是很符合要求哦。
另外不明白你为什么要直接修改内存实现想达到什么目的,因为不清楚你的目的所以无法根据你的要求实现,但结果就是你要的.
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#28 得分:0回复于: 2008-07-07 14:55:33
mark
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#29 得分:0回复于: 2008-07-07 15:09:13

Delphi/Pascal code
 
?
1
2
3
4
5
6
  Input.cmd := $B8;
  Input.Data := $7C + Num;
  Input.Push := $50;
  Input.cmd2 := $E8;
  Input.Data2 := $0100264B - (dword(FRemoteMem) + 11);
  Input.cmd3 := $C3;



上面这些意思含义如下:
Assembly code
 
?
1
2
3
4
5
  mov eax,$7C
  add eax,Num
  push eax
  call $100264B
  ret
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#30 得分:0回复于: 2008-07-07 16:59:18
“另外不明白你为什么要直接修改内存实现想达到什么目的,因为不清楚你的目的所以无法根据你的要求实现,但结果就是你要的.”

晕死,我没事改计算器的数字干啥,我是打算学习修改内存啊,你看标题,还有题目要求啊。

谢谢大家了。

我的目的好像表达够清楚啊.....
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#31 得分:0回复于: 2008-07-07 17:02:23
我昨晚已经确定了 蝴蝶 也不是修改内存的,因为我用CE去跟踪,发现内存没变(当时有发话上来,可是系统说我发言太频繁,不给贴。)。——不符合要求。

如果你们2个都不是通过修改内存的,我想我不能把分全给你们的。
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#32 得分:0回复于: 2008-07-07 17:09:19
刚看了 惊动党中央 的代码,觉得是修改内存啊,注入、远程执行、修改,为什么说不是呢?

应该是你的最正确啊,我不明白你说的不是修改内存这个说法,指点指点。
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#33 得分:0回复于: 2008-07-07 17:18:14
你所说的直接修改是直接修改显示的结果,我这个远程注入执行并没有直接去修改那个结果,而是间接去让计算器自己修改了.
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#34 得分:0回复于: 2008-07-07 17:19:03
引用 31 楼 jenhon 的回复:
我昨晚已经确定了 蝴蝶 也不是修改内存的,因为我用CE去跟踪,发现内存没变(当时有发话上来,可是系统说我发言太频繁,不给贴。)。——不符合要求。 

如果你们2个都不是通过修改内存的,我想我不能把分全给你们的。
他那个应该是修改EDIT上层的显示界面.
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#35 得分:0回复于: 2008-07-07 17:21:53
如果你需要纯粹直接修改那么更简单.

1.EnabledDebugPrivilege
2.OpenProcess
3.WriteProcessMemory
就完了

需要说明的是那个直接内存地址的数据类型应该是WideChar,一个字符占两个byte
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#36 得分:0回复于: 2008-07-07 17:33:07
谢谢 惊动党中央,我就是需要你说的那种直接修改的,麻烦给个新代码。

另外如果你方便的话,先去我那3个贴留留名,我好放分,谢谢了。
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#37 得分:0回复于: 2008-07-07 17:35:15
太佩服 惊动党中央 了,call $100264B这个都找得出来?

是不是 跟踪哪个修改了,然后找到call函数地址?
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#38 得分:0回复于: 2008-07-07 17:55:23
如果你直接修改那个地址显示上是不会变的,但实际值的确是变成你修改的值,参与运算的话就是用你修改的值
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#39 得分:0回复于: 2008-07-07 18:35:17
Delphi/Pascal code
 
?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
procedure TMainForm.EditCalcNumEX(Num: string);
type
  PCalcNum = ^TCalcNum;
  TCalcNum = packed record
    isUse: Dword;
    Un: Dword;
    Len: DWORD;
    Num: array[0..31of WideChar;
  end;
var
  hRemoteProcess: THandle;
  dwRemoteProcessId: DWORD;
  TempVar: DWORD;
  Input: TCalcNum;
  Tmp: PWideChar;
begin
  EnabledDebugPrivilege(True);
  GetMyProcessID('calc.exe'False, dwRemoteProcessID);
 
  if dwRemoteProcessID = 0 then
  begin
    MessageBox(Handle, '未找到计算器,请先启动计算器''错误', MB_OK +
      MB_ICONSTOP + MB_DEFBUTTON2);
    exit;
  end;
  hRemoteProcess := OpenProcess(PROCESS_CREATE_THREAD + {允许远程创建线程}
    PROCESS_VM_OPERATION + {允许远程VM操作}
    PROCESS_VM_WRITE, {允许远程VM写}
    FALSE, dwRemoteProcessId);
  Input.isUse := 0;
  Input.Un := 0;
  Input.Len := Length(Num);
  StringToWideChar(Num, PWideChar(@Input.Num[0]), Input.Len * 2);
  WriteProcessMemory(hRemoteProcess, Pointer($1014DC8), @Input, 68, TempVar);
end;
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#40 得分:0回复于: 2008-07-07 18:46:34
上面那个代码有点问题,应该用这个
Delphi/Pascal code
 
?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
procedure TMainForm.EditCalcNumEX(Num: string);
type
  PCalcNum = ^TCalcNum;
  TCalcNum = packed record
    isUse: Dword;
    D1:DWORD;
    D2:DWORD;
    D3:Dword;
    D4:Dword;
    D5:Dword;
    Len: DWORD;
    Num: array[0..31of WideChar;
  end;
var
  hRemoteProcess: THandle;
  dwRemoteProcessId: DWORD;
  TempVar: DWORD;
  Input: TCalcNum;
  Tmp: PWideChar;
begin
  EnabledDebugPrivilege(True);
  GetMyProcessID('calc.exe'False, dwRemoteProcessID);
 
  if dwRemoteProcessID = 0 then
  begin
    MessageBox(Handle, '未找到计算器,请先启动计算器''错误', MB_OK +
      MB_ICONSTOP + MB_DEFBUTTON2);
    exit;
  end;
 
  hRemoteProcess := OpenProcess(PROCESS_CREATE_THREAD + {允许远程创建线程}
    PROCESS_VM_OPERATION + {允许远程VM操作}
    PROCESS_VM_WRITE, {允许远程VM写}
    FALSE, dwRemoteProcessId);
 
  Input.isUse := 1;
  Input.D1:= 0;
  Input.D2:= 0;
  Input.D3:=$FFFFFFFF;
  Input.D4 := 0;
  Input.D5 := 0;
  Input.Len := Length(Num);
  StringToWideChar(Num, PWideChar(@Input.Num[0]), Input.Len * 2);
  WriteProcessMemory(hRemoteProcess, Pointer($1014DB8), @Input, 92, TempVar);
end;
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#41 得分:0回复于: 2008-07-08 01:05:13
谢谢 惊动党中央,你的答案就是我要的,我也已经放分了。

辛苦了,谢谢!

还有个事情很不好意思请你指教:我从c过来,觉得c操作 *char几乎是无所不能,到delphi几年了,都没碰过hex的操作,能不能继续麻烦你帮写一个ReadProcessMemory,把刚写进去的内容读到buffer里面,再逐个hex显示在一个memo里面。
例如:
ff ff ff ff 01 00 00 00 00 00 00 00 01 00 00 00
xx xx xx ...

我能理解c里面的alloc,而在delphi里面觉得有点恐慌,而且stream的操作好像限制很多,方法也很多,希望能顺便学习学习。

这个贴的分数也就剩下这个问题了。

谢谢了!
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#42 得分:0回复于: 2008-07-08 01:08:06
读指定地址之后 一个段的长度,或者256个字节,刚忘了说长度。
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#43 得分:0回复于: 2008-07-08 08:40:22
你要的实际是把内存数据显示HEX和ASCLL出来吧
Delphi/Pascal code
 
?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
function MemoryToHex(HeadStr: stringconst Buffer; Size: Integer): Tstringlist;
var
  tmpP: PByteArray;
  tmpB: Byte;
  tmpC: Char;
  tmpS: string;
  tmpI: Integer;
  tmpJ: Integer;
begin
  result := tstringlist.create;
  tmpP := PByteArray(@Buffer);
  for tmpI := 0 to (Size + 15div 16 1 do
    begin
      tmps := HeadStr;
      tmpS := tmps + Format('  %0.8X ', [tmpI * $10]);
      for tmpJ := 0 to $F do //每行以十六进制数显示16个字节
        begin
          if tmpI * $10 + tmpJ < Size then
            begin
              tmpB := tmpP^[tmpI * $10 + tmpJ];
              if tmpJ = 7 then //第8个字符后显示一个分隔符
                tmpS := tmpS + IntToHex(tmpB, 2) + '-'
              else
                tmpS := tmpS + IntToHex(tmpB, 2) + ' ';
            end
          else
            begin
              tmpS := tmpS + '   '//没有数据时以空格填充
            end;
        end;
      tmps := tmps + ';';
      for tmpJ := 0 to $F do //显示16个字节对应的字符
        begin
          tmpC := ' ';
          if tmpI * $10 + tmpJ < Size then tmpC := Chr(tmpP^[tmpI * $10 + tmpJ]);
          if ((tmpC < ' 'or (tmpC > '~')) and (tmpC < char(128)) then tmpC := '.'//不可见字符以"."显示
          tmpS := tmpS + tmpC;
        end;
      result.Add(tmpS);
    end;
end;
 
 
调用:
 Memo.lines:= MemoryToHex('Mem:',Buff,Size);
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#44 得分:0回复于: 2008-07-08 08:46:20
谢谢你,我想要的是从ReadProcessMemory得到的buffer内容,怎么转到你这个函数的buffer的过程。

因为ReadProcessMemory读出来之前,必须先分配内存这些动作,我想学这个。

麻烦你了!
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#45 得分:36回复于: 2008-07-08 08:51:01
Var 
 mem:pointer;

如果是其它进程数据就用ReadProcessMemory把内存数据读到MEM里面
然后:
Memo.lines:= MemoryToHex('Mem:', mem^ ,Size);
如果是本进程数据那么直接

显示就行.
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#46 得分:0回复于: 2008-07-08 08:51:41
用GetMem分配一片足够的空间,MEM指向他.
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#47 得分:0回复于: 2008-07-08 09:32:45
我试了ReadProcessMemory,读出了数据,是cal.exe的内容,但是位置不是我指定的。

所以想请教一下ReadProcessMemory的例程啊,

拜托你了,谢谢。
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#48 得分:0回复于: 2008-07-08 09:34:33
?
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#49 得分:0回复于: 2008-07-08 09:38:06
读和写一样啊
Delphi/Pascal code
 
?
1
2
3
4
5
6
var 
  Input: TCalcNum;
  Str:String;
 
  ReadProcessMemory(hRemoteProcess, Pointer($1014DB8), @Input, 92, TempVar);
  Str:= WideCharToString(PWideChar(@Input.Num[0]));
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
#50 得分:0回复于: 2008-07-08 09:42:31
你试了没?进出的内容不一样,我的是这样。
 
对我有用[0] 丢个板砖[0] 引用 | 举报 管理
  • 1
  • 2
  • 第  页
返回列表

CSDN

CSDN社区问答精华QA

本帖子已过去太久远了,不再提供回复功能。

核心技术类目

全部主题 Hadoop AWS 移动游戏 Java Android iOS Swift 智能硬件 Docker OpenStack VPN Spark ERP IE10Eclipse CRM JavaScript 数据库 Ubuntu NFC WAP jQuery BI HTML5 Spring Apache .NET API HTML SDK IISFedora XML LBS Unity Splashtop UML components Windows Mobile Rails QEMU KDE Cassandra CloudStack