Чтение памяти процесса

@EatingPeopleIsFun · Регистрация: 14.06.2009

Студворк — интернет-сервис помощи студентам

Здравствуйте, пытаюсь найти кое-что в памяти процесса.

Вариант 1.
Ищем нужную строку внутри исполняемого файла при помощи например IDA или чего другого, смотрим адрес нужной строки.
Полученный адрес минус начальный адрес = смещение относительно начала.

Теперь если сделать ReadProcessMemory на адрес загрузки исполняемого файла + смещение, то найдем нужную строку.

Вариант 2.
Исполняемый файл загружает библиотеку (.dll), и в этой библиотеке находится необходимая строка, которую нужно найти.

Вопрос: где в памяти ее искать, зная смещение адреса этой строки относительно адреса загрузки .dllки? Пробовал по аналогии с вариантом 1, с помощью GetModuleHandleA (DLL_NAME), искал адрес dll, сдвигал на смещение, и находил мусор

Подскажите, что я делаю не так, спасибо)

@gazlan · 16.09.2013, 01:29

1. Если файл не упакован/не зашифрован итп, проще всего искать в самом этом файле, а не в памяти.
2. Виртуальный адрес (VA) зависит не только от адреса загрузки модуля, но и от адреса смещения секции при загрузке (RVA). Проще всего использовать Hiew, который сделает все вычисления сам (http://www.hiew.ru), или иной редактор PE-файлов.

Или так, основываясь на данных из заголовка и используемой секции:

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
DWORD VA2OFS(DWORD dwVA)
{
   int      iSectNum = 0;
   
   PIMAGE_SECTION_HEADER      pSect = GetSectionByVA(dwVA,iSectNum);
   
   if (!pSect)
   {
      return 0;
   }
 
   return dwVA - (_pNTHeader->OptionalHeader.ImageBase + pSect->VirtualAddress - pSect->PointerToRawData);
}

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
DWORD OFS2VA(DWORD dwOfs)
{
   int      iSectNum = 0;
   
   PIMAGE_SECTION_HEADER      pSect = GetSectionByOffset(dwOfs,iSectNum);
   
   if (!pSect)
   {
      return 0;
   }
 
   return _pNTHeader->OptionalHeader.ImageBase + pSect->VirtualAddress - pSect->PointerToRawData + dwOfs;
}

Если речь идет о текстовой строке, не короче 5 символов, можете попробовать просто поискать ее в выдаче простенького дампера из эташа.

@EatingPeopleIsFun · 16.09.2013, 05:53 **[ТС]**

У меня задача, не просто найти строку, а найти ее программным путем, чтобы подменить при загрузке приложения (использую DLL injection).

DWORD dwOfs = VA2OFS(Какой адрес отдавать сюда? Известное смещение?);
DWORD offset = OFS2VA(dwOfs);
Как дальше использовать offset? Или теперь offset это всяко адрес загрузки приложения?

Сейчас я читаю вот так:

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
bool ReadMemory(DWORD offset, LPVOID buffer){
    DWORD baseAddress=(DWORD)GetModuleHandleA(PROCESS_NAME);
    if (baseAddress == NULL){
        OutputDebugString("Base address not found");
        return 0;
    }
 
    memset(buffer, '\0', sizeof(buffer));
    baseAddress += offset;
    
    if (!ReadProcessMemory(GetCurrentProcess(),(LPVOID*)(baseAddress),buffer,sizeof(buffer),NULL))
    {
        char buff[250];
        char* result = "Error during ReadProcessMemory [%d]";
        sprintf_s(buff, result, GetLastError());
        OutputDebugString(buff);
        return 0;
    }
    return 1;
}

Для варианта 1 работает, для 2 - нет.

@gazlan · 16.09.2013, 06:31

VA - Virtual address, Ofs - смещение в файле.

Если задача - менять в памяти, работайте с виртуальными адресами.

DLL, в отличие от EXE, может быть ребазирована, адреса при этом будут перенастроены загрузчиком с учетом Relocation table.

Relocation (computing)

Посмотрите еще здесь:

Использование DLL в программе на Visual C++
Загрузчик PE-файлов

@EatingPeopleIsFun · 16.09.2013, 07:45 **[ТС]**

Ок, понял что VA2OFS и OFS2VA надо использовать для конвертирования Виртуального адреса в Смещение в файле и обратно.

Не могу разобраться как заставить GetSectionByOffset и _pNTHeader работать, надо что-то инклудить или тут посложнее будет? Подскажите

@gazlan · 16.09.2013, 08:35

Структуры описаны здесь: ImageHlp Structures

А GetSection - это просто итератор: пробегает в цикле по всем секциям, пока не найдет подходящую.

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
PIMAGE_SECTION_HEADER GetSectionByOffset(DWORD dwOffset,int& iSectNum)
{        
   iSectNum = 0;
                        
   int      iCnt = GetMaxSectionNum() + 1;
 
   for (int ii = 0; ii < iCnt; ++ii)
   {
      PIMAGE_SECTION_HEADER      pSection = GetSection(ii);
 
      if ((pSection->PointerToRawData <= dwOffset) && (dwOffset < pSection->PointerToRawData + pSection->SizeOfRawData))
      {
         iSectNum = ii;
         return pSection;
      }
   }
 
   return NULL;
}

@EatingPeopleIsFun · 16.09.2013, 11:43 **[ТС]**

да, похоже с наскока барьер взять не удастся) придется мне почитать доки по PE формату, но всё равно спасибо )

Новые блоги и статьи Все статьи Все блоги /
Учёным и волонтёрам проекта «Einstein@home» удалось обнаружить четыре гамма-лучевых пульсара в джете Млечного Пути Programma_Boinc 01.01.2026 Учёным и волонтёрам проекта «Einstein@home» удалось обнаружить четыре гамма-лучевых пульсара в джете Млечного Пути Сочетание глобально распределённой вычислительной мощности и инновационных. . .	Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .	Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Рецензия / Мнение/ Перевод Нашел на реддите интересную статью под названием The Thinkpad X220 Tablet is the best budget school laptop period . Ниже её машинный перевод. Thinkpad X220 Tablet —. . .	PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .
Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .

@EatingPeopleIsFun 70 / 69 / 10 Регистрация: 14.06.2009 Сообщений: 310 Записей в блоге: 1

	Чтение памяти процесса 16.09.2013, 00:13. Показов 11163. Ответов 6 Метки нет (Все метки) Здравствуйте, пытаюсь найти кое-что в памяти процесса. Вариант 1. Ищем нужную строку внутри исполняемого файла при помощи например IDA или чего другого, смотрим адрес нужной строки. Полученный адрес минус начальный адрес = смещение относительно начала. Теперь если сделать ReadProcessMemory на адрес загрузки исполняемого файла + смещение, то найдем нужную строку. Вариант 2. Исполняемый файл загружает библиотеку (.dll), и в этой библиотеке находится необходимая строка, которую нужно найти. Вопрос: где в памяти ее искать, зная смещение адреса этой строки относительно адреса загрузки .dllки? Пробовал по аналогии с вариантом 1, с помощью GetModuleHandleA (DLL_NAME), искал адрес dll, сдвигал на смещение, и находил мусор Подскажите, что я делаю не так, спасибо) 0

@gazlan 3176 / 1935 / 312 Регистрация: 27.08.2010 Сообщений: 5,131 Записей в блоге: 1
	16.09.2013, 06:31
	VA - Virtual address, Ofs - смещение в файле. Если задача - менять в памяти, работайте с виртуальными адресами. DLL, в отличие от EXE, может быть ребазирована, адреса при этом будут перенастроены загрузчиком с учетом Relocation table. Relocation (computing) Посмотрите еще здесь: Использование DLL в программе на Visual C++ Загрузчик PE-файлов 0

@EatingPeopleIsFun 70 / 69 / 10 Регистрация: 14.06.2009 Сообщений: 310 Записей в блоге: 1
	16.09.2013, 07:45 [ТС]
	Ок, понял что VA2OFS и OFS2VA надо использовать для конвертирования Виртуального адреса в Смещение в файле и обратно. Не могу разобраться как заставить GetSectionByOffset и _pNTHeader работать, надо что-то инклудить или тут посложнее будет? Подскажите 0

@EatingPeopleIsFun 70 / 69 / 10 Регистрация: 14.06.2009 Сообщений: 310 Записей в блоге: 1
	16.09.2013, 11:43 [ТС]
	да, похоже с наскока барьер взять не удастся) придется мне почитать доки по PE формату, но всё равно спасибо ) 0