Поиск строки в памяти запущенного процесса и её изменение

@DjDram · Регистрация: 19.07.2009

Студворк — интернет-сервис помощи студентам

Не могу решить задачку нужно считать строку из памяти процесса запущенной программы.

RVA строки $0036D0C8 нужен ведь RVA не VA

Процедура выглядит следующим образом, для проверки значений заносил их в edit

Delphi
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
procedure TForm1.Button1Click(Sender: TObject);
var
hProc, PID, numberRead : DWORD;
hWnd : THandle;// Хэндл окна чата
IpBuf : string; // буфер куда поместиться наше значение
ipBase: ^dword; // точка входа в памяти
begin
hWnd:=findwindow('TfChatClient',nil); /// получаем хэндл окна программы
 Edit1.Text:=inttostr(hWnd); // заносим в edit Handle
GetWindowThreadProcessId(hWnd, @PID); //получаем pid зная хэндл окошка интересующей нас программы
 Edit2.Text:=inttostr(PID); // заносим в edit ID
hProc:=OpenProcess(PROCESS_VM_READ, False, PID); // подключаемся к процессу зная его ID
try
   if hProc <> 0 then // условие проверки подключения к процессу
          begin
Edit3.Text:=inttostr(hProc); // заносим в edit Process
ipbuf:=' '; // очищаем буфер
            SetLength(ipbuf, 4);// устанавливаем длинну буфера
             ipBase:=ptr($0036D0C8); // RVA слова в памяти
             ReadProcessMemory(hProc, ipBase, Addr(ipbuf), 4, numberRead); // чтение из памяти строки
             Edit4.Text:=PCHAR(ipbuf); // заносим в edit Buffer
          end;
finally
CloseHandle(hProc); // отсоединяемся от процесса
end;
end;

В результате получилось следующее хэндл, pid process считываються идеально, а вот переменная ipbuf куда должно занестись значение выдыдаёт какуето ерунду что не так где ошибки?

@schdub · 19.07.2009, 22:40

Нужно чтобы буфер для чтения был не String, а DWORD.

Pascal
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
procedure TForm1.Button1Click(Sender: TObject);
var
  hProc, PID, numberRead : DWORD;
  hWnd  : THandle; // Хэндл окна чата
  IpBuf : DWORD; // буфер куда поместиться наше значение
  ipBase: ^dword; // точка входа в памяти
begin
  hWnd:=findwindow('TfChatClient',nil); /// получаем хэндл окна программы
  Edit1.Text:=inttostr(hWnd); // заносим в edit Handle
  GetWindowThreadProcessId(hWnd, @PID); //получаем pid зная хэндл окошка интересующей нас программы
  Edit2.Text:=inttostr(PID); // заносим в edit ID
  hProc:=OpenProcess(PROCESS_VM_READ, False, PID); // подключаемся к процессу зная его ID
  if hProc <> 0 then // условие проверки подключения к процессу
  try
    Edit3.Text:=inttostr(hProc); // заносим в edit Process
    ipBase:=ptr($0036D0C8); // RVA слова в памяти
    ReadProcessMemory(hProc, ipBase, Addr(ipbuf), sizeof(IpBuf), numberRead); // чтение из памяти строки
    Edit4.Text:=IntToStr(ipbuf); // заносим в edit Buffer
  finally
    CloseHandle(hProc); // отсоединяемся от процесса
  end;
end;

@DjDram · 20.07.2009, 10:24 **[ТС]**

Сообщение от polivets

Нужно чтобы буфер для чтения был не String, а DWORD.

Теперь вместо символов считываются числа а надо чтоб это было слово

Добавлено через 13 минут 24 секунды
я так понимаю что он должен счтывать данные из этого оффсета $0036D0C8 тоесть

0036D0C8: 48|00|75|00|63|00|6B|00|65|00|72|00|73|0 0|00|00

Результат должен быть таким
H u c k e r s (ascll)
или же
4800750063006B006500720073000000 (в hex)
а он равен
7667784

@schdub · 20.07.2009, 12:34

Так бы сразу и сказал, что ты читаешь строку в Unicod'e.

Pascal
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
procedure TForm1.Button1Click(Sender: TObject);
var
  hProc, PID, numberRead : DWORD;
  hWnd  : THandle;    // Хэндл окна чата
  IpBuf : PWideChar;  // буфер куда поместиться наше значение
  len   : integer;
  ipBase: ^dword;     // точка входа в памяти
begin
  hWnd:=findwindow('TfChatClient',nil); /// получаем хэндл окна программы
  Edit1.Text:=inttostr(hWnd); // заносим в edit Handle
  GetWindowThreadProcessId(hWnd, @PID); //получаем pid зная хэндл окошка интересующей нас программы
  Edit2.Text:=inttostr(PID); // заносим в edit ID
  hProc:=OpenProcess(PROCESS_VM_READ, False, PID); // подключаемся к процессу зная его ID
  if hProc <> 0 then // условие проверки подключения к процессу
  try
    len   := 200;
    ipBuf := AllocMem(len);
    Edit3.Text:=inttostr(hProc); // заносим в edit Process
    ipBase:=ptr($0036D0C8);      // RVA слова в памяти
    ReadProcessMemory(hProc, ipBase, ipbuf, len, numberRead); // чтение из памяти строки
    Edit4.Text:=WideCharToString(ipbuf); // заносим в edit Buffer
  finally
    CloseHandle(hProc); // отсоединяемся от процесса
  end;
end;

@Somebody · 20.07.2009, 14:18

Если бы был не юникод, то ошибка в том, что Addr(ipbuf) - адрес указателя (которым по сути является string), а буфер - Addr(ipbuf[1]).
Хм, всегда думал, зачем нужен addr, если есть @, это, наверное, для совместимости с клавиатурами очень далёких времён, как круглые скобки с точками и звёздочками...

@DjDram · 20.07.2009, 17:59 **[ТС]**

Спасибо огромное за помощь теперь считывает

а как работает функция WriteProcessMemory записи в память процесса

теперь я допустим хочу заменить слово по адресу на своё

как правильней это сделать

Delphi
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
procedure TForm1.Button1Click(Sender: TObject);
var
  hProc, PID, numberRead : DWORD;
  hWnd  : THandle;    // Хэндл окна чата
  IpBuf : PWideChar;  // буфер куда поместиться наше значение
  len   : integer;
  ipBase: ^dword;     // точка входа в памяти
  Buf : PChar;
  Write:cardinal;
  str:string
begin
  hWnd:=findwindow('TfChatClient',nil); /// получаем хэндл окна программы
  Edit1.Text:=inttostr(hWnd); // заносим в edit Handle
  GetWindowThreadProcessId(hWnd, @PID); //получаем pid зная хэндл окошка интересующей нас программы
  Edit2.Text:=inttostr(PID); // заносим в edit ID
  hProc:=OpenProcess(PROCESS_VM_READ, False, PID); // подключаемся к процессу зная его ID
  if hProc <> 0 then // условие проверки подключения к процессу
  try
    len   := 200;
    ipBuf := AllocMem(len);
    Edit3.Text:=inttostr(hProc); // заносим в edit Process
    ipBase:=ptr($001AB268);      // RVA слова в памяти
    ReadProcessMemory(hProc, ipBase, ipbuf, len, numberRead); // чтение из памяти строки
    Edit4.Text:=WideCharToString(ipbuf); // заносим в edit Buffer
    GetMem(buf,8);//выделяем память под наше слово
    str:='version';  // присваевываем наше слово переменной
    buf^ := Chr(str); //записываем по этому адресу наше слово
    WriteProcessMemory(hProc, ipBase, buf, len, write); //меняем старое значения слова на новое
  finally
    CloseHandle(hProc); // отсоединяемся от процесса
  end;
end;

что то снова не так?

Добавлено через 21 минуту 15 секунд
немного подправил тип переменных

Delphi
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
procedure TForm1.Button1Click(Sender: TObject);
var
  hProc, PID, numberRead : DWORD;
  hWnd  : THandle;    // Хэндл окна чата
  IpBuf : PWideChar;  // буфер куда поместиться наше значение
  len   : integer;
  ipBase: ^dword;     // точка входа в памяти
 Buf : PChar;
 Write:cardinal;
  str:dword;
begin
  hWnd:=findwindow('TfChatClient',nil); /// получаем хэндл окна программы
  Edit1.Text:=inttostr(hWnd); // заносим в edit Handle
  GetWindowThreadProcessId(hWnd, @PID); //получаем pid зная хэндл окошка интересующей нас программы
  Edit2.Text:=inttostr(PID); // заносим в edit ID
  hProc:=OpenProcess(PROCESS_VM_READ, False, PID); // подключаемся к процессу зная его ID
  if hProc <> 0 then // условие проверки подключения к процессу
  try
    len   := 200;
    ipBuf := AllocMem(len);
    Edit3.Text:=inttostr(hProc); // заносим в edit Process
    ipBase:=ptr($001AB040);      // RVA слова в памяти
    ReadProcessMemory(hProc, ipBase, ipbuf, len, numberRead); // чтение из памяти строки
    Edit4.Text:=WideCharToString(ipbuf); // заносим в edit Buffer
   GetMem(buf,8);//выделяем память под наше слово
   str:=strtoint('version');  // присваевываем наше слово переменной
   buf^ := Chr(str); //записываем по тому адресу наше слово
    WriteProcessMemory(hProc, ipBase, buf, len, write); //меняем старое значения слова на новое 
  finally
    CloseHandle(hProc); // отсоединяемся от процесса
  end;
end;

@schdub · 20.07.2009, 22:55

Pascal
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
procedure TForm1.Button1Click(Sender: TObject);
var
  hProc, PID, numberRead : DWORD;
  hWnd : THandle; // Хэндл окна чата
  IpBuf : PWideChar; // буфер куда поместиться наше значение
  len : integer;
  ipBase: ^dword; // точка входа в памяти
  Buf : PChar;
  Write:cardinal;
begin
  hWnd:=findwindow('TfChatClient',nil); /// получаем хэндл окна программы
  Edit1.Text:=inttostr(hWnd); // заносим в edit Handle
  GetWindowThreadProcessId(hWnd, @PID); //получаем pid зная хэндл окошка интересующей нас программы
  Edit2.Text:=inttostr(PID); // заносим в edit ID
  hProc:=OpenProcess(PROCESS_ALL_ACCESS, False, PID); // подключаемся к процессу зная его ID
  if hProc <> 0 then // условие проверки подключения к процессу
  try
    len   := 200;
    ipBuf := AllocMem(len);
    Edit3.Text:=inttostr(hProc); // заносим в edit Process
    ipBase:=ptr($001AB040); // RVA слова в памяти
    ReadProcessMemory(hProc, ipBase, ipBuf, len, numberRead); // чтение из памяти строки
    Edit4.Text:=WideCharToString(ipbuf); // заносим в edit Buffer
    StringToWideChar('version', ipBuf, len);
    WriteProcessMemory(hProc, ipBase, ipBuf, 15, write); //меняем старое значения слова на новое
  finally
    CloseHandle(hProc); // отсоединяемся от процесса
    FreeMem(ipBuf); // освобождаем память
  end;
end;

Вот исправил, на мой взгляд должно работать, но 100% гарантию дать не могу т.к. делфей сейчас под рукой нету.

А зачем ты считываешь слово, если ты с ним ничего не делаешь?\

Чтобы ты смог писать в память процесса, ты его должен открыть функцией OpenProcess() с флагом не менее PROCESS_VM_WRITE, а лучше PROCESS_ALL_ACCESS.

Обязательно, если ты изменяшь что-то в процессе во время исполнения, то то что ты записываешь должно быть меньше или точь-точь по размеру, иначе может быть обрушение инъектируемого процесса (конечно, если за инъектируемой областью не находяться пустоты программного кода или ненужные текстовые строки).

@DjDram · 21.07.2009, 11:25 **[ТС]**

А зачем ты считываешь слово, если ты с ним ничего не делаешь?

чтоб потом проверить что в памяти ведь если первый раз нажать на кнопку он занесёт в edit считаное значение не изменённое, а если второй то он покажет уже измёнённое по этому адресу (для контроля так сказать)

Обязательно, если ты изменяшь что-то в процессе во время исполнения, то то что ты записываешь должно быть меньше или точь-точь по размеру, иначе может быть обрушение инъектируемого процесса (конечно, если за инъектируемой областью не находяться пустоты программного кода или ненужные текстовые строки).

Там после этого слова в памяти достаточно нулей чтоб предложение уместить

Страно слово меняет но в программе это не отображается сделал вот такую проверку
открыл в artmoney свой процесс нашёл своё слово просмотрел встроенным редактором памяти(artmoney), открыл свою программу нажал на кнопку смотрю в редактор памяти значение изменилось, а в программе так и осталось, решил проверить может где появилось оно снова и дествительно по новому адресу где его небыло появилось не изменёное слово

мне тут порекомендовали какую то подмену значения

Меняем значение в памяти по адресу
adr: ^dword;
adr: ptr($00123456);
adr^:=$FFFFFFFF;

но я чёт не могу понять что за $FFFFFFFF и как это можно использовать в моём примере

@schdub · 21.07.2009, 12:24

Страно слово меняет но в программе это не отображается

т.е. это не отображается в окне программы? Задумайся у тебя есть переменная и она где-то в памяти, каждый раз когда ты ее изменяешь ты отображаешь эти изменения где-нибудь в Label или Edit. Допустим кто-то изменил твою переменную независимо от тебя, чтобы изменения отобразились в окне программы, нужно вызвать код, отображения данной переменной на контрол формы.

Там после этого слова в памяти достаточно нулей чтоб предложение уместить

Ты уваерен, что это ненужные нули? Вдруг, они предназначены для padding'a какого-нибудь буфера и т.д.

@DjDram · 21.07.2009, 12:52 **[ТС]**

Сообщение от polivets

т.е. это не отображается в окне программы? Задумайся у тебя есть переменная и она где-то в памяти, каждый раз когда ты ее изменяешь ты отображаешь эти изменения где-нибудь в Label или Edit. Допустим кто-то изменил твою переменную независимо от тебя, чтобы изменения отобразились в окне программы, нужно вызвать код, отображения данной переменной на контрол формы.

да именно в окне программы только не моей что я пишу а в той чьё значение редактирую, значение там пишется в edit.

Сообщение от polivets

Ты уваерен, что это ненужные нули? Вдруг, они предназначены для padding'a какого-нибудь буфера и т.д.

я ту да уже вписывал стркоки и по длинее чем моё ток он всё равно обрезает их до 4 символов.

@Aqelius · 17.02.2017, 07:46

ВОПРОС: Как не зная адреса строки ($0036D0C8) найти слово/строку?

Конкретно: мне нужно найти слово: test- , после его нахождения в памяти (процесса) считать значение в 32 символа (буквы цифры - ХЕШ - В ВЕРХНЕМ РЕГИСТРЕ!!!), которые идут сразу за найденным словом test- ???

PS: в памяти может быть ещё один "хеш", но в нижнем регистре букв - поэтому нужен только который правильный (верхний регистр).

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .
SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	SDL3 для Android: Загрузка PNG с альфа-каналом с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .

Поиск строки в памяти запущенного процесса и её изменение

Решение

Решение

@Somebody 2838 / 1647 / 254 Регистрация: 03.12.2007 Сообщений: 4,222
	20.07.2009, 14:18
	Если бы был не юникод, то ошибка в том, что Addr(ipbuf) - адрес указателя (которым по сути является string), а буфер - Addr(ipbuf[1]). Хм, всегда думал, зачем нужен addr, если есть @, это, наверное, для совместимости с клавиатурами очень далёких времён, как круглые скобки с точками и звёздочками... 0

@DjDram 0 / 0 / 0 Регистрация: 19.07.2009 Сообщений: 10
	21.07.2009, 11:25 [ТС]
	А зачем ты считываешь слово, если ты с ним ничего не делаешь? чтоб потом проверить что в памяти ведь если первый раз нажать на кнопку он занесёт в edit считаное значение не изменённое, а если второй то он покажет уже измёнённое по этому адресу (для контроля так сказать) Обязательно, если ты изменяшь что-то в процессе во время исполнения, то то что ты записываешь должно быть меньше или точь-точь по размеру, иначе может быть обрушение инъектируемого процесса (конечно, если за инъектируемой областью не находяться пустоты программного кода или ненужные текстовые строки). Там после этого слова в памяти достаточно нулей чтоб предложение уместить Страно слово меняет но в программе это не отображается сделал вот такую проверку открыл в artmoney свой процесс нашёл своё слово просмотрел встроенным редактором памяти(artmoney), открыл свою программу нажал на кнопку смотрю в редактор памяти значение изменилось, а в программе так и осталось, решил проверить может где появилось оно снова и дествительно по новому адресу где его небыло появилось не изменёное слово мне тут порекомендовали какую то подмену значения Меняем значение в памяти по адресу adr: ^dword; adr: ptr($00123456); adr^:=$FFFFFFFF; но я чёт не могу понять что за $FFFFFFFF и как это можно использовать в моём примере 0

@Aqelius 0 / 0 / 0 Регистрация: 11.04.2015 Сообщений: 33
	17.02.2017, 07:46
	ВОПРОС: Как не зная адреса строки ($0036D0C8) найти слово/строку? Конкретно: мне нужно найти слово: test- , после его нахождения в памяти (процесса) считать значение в 32 символа (буквы цифры - ХЕШ - В ВЕРХНЕМ РЕГИСТРЕ!!!), которые идут сразу за найденным словом test- ??? PS: в памяти может быть ещё один "хеш", но в нижнем регистре букв - поэтому нужен только который правильный (верхний регистр). 0