您现在的位置:首页 >> API >> API >> 内容

Delphi如何访问一个进程的内存空间

时间:2011/9/3 14:52:56 点击:

  核心提示:在WIN32中,每个应用程序都可“看见”4GB的线性地址空间,其中最开始的4MB和最后的2GB由操作系统保留,剩下不足2GB的空间用于应用程序私有空间。具体分配如下:0xFFFFFFFF-0xC000...
在WIN32中,每个应用程序都可“看见”4GB的线性地址空间,其中最开始的
4MB和最后的2GB由操作系统保留,剩下不足2GB的空间用于应用程序私有空间。
具体分配如下:0xFFFFFFFF-0xC0000000的1GB用于VxD、存储器管理和文件系统;
0xBFFFFFFF-0x80000000的1GB用于共享的WIN32 DLL、存储器映射文件和共享存
储区;0x7FFFFFFF-0x00400000为每个进程的WIN32专用地址;0x003FFFFF-
0x00001000为MS-DOS 和 WIN16应用程序;0x00000FFF-0x00000000为防止使用
空指针的4,096字节。以上都是指逻辑地址,也就是虚拟内存。
      虚拟内存通常是由固定大小的块来实现的,在WIN32中这些块称为“页”,
每页大小为4,096字节。在Intel CPU结构中,通过在一个控制寄存器中设置一位
来启用分页。启用分页时CPU并不能直接访问内存,对每个地址要经过一个映射
进程,通过一系列称作“页表”的查找表把虚拟内存地址映射成实际内存地址。
通过使用硬件地址映射和页表WIN32可使虚拟内存即有好的性能而且还提供保护。
利用处理器的页映射能力,操作系统为每个进程提供独立的从逻辑地址到物理地
址的映射,使每个进程的地址空间对另一个进程完全不可见。WIN32中也提供了
一些访问进程内存空间的函数,但使用时要谨慎,一不小心就有可能破坏被访问
的进程。本文介绍如何读另一个进程的内存,写内存与之相似,完善一下你也可
以做个 FPE 之类的内存修改工具。好吧,先准备好编程利器Delphi 和 参考手
册 MSDN ,开始了!
    ReadProcessMemory 读另一个进程的内存,原形如下:
      BOOL ReadProcessMemory(
      HANDLE hProcess,           // 被读取进程的句柄;
      LPCVOID lpBaseAddress,        // 读的起始地址;
      LPVOID lpBuffer,           // 存放读取数据缓冲区;
      DWORD nSize,           // 一次读取的字节数;
      LPDWORD lpNumberOfBytesRead // 实际读取的字节数;
    );
hProcess 进程句柄可由OpenProcess 函数得到,原形如下:
    HANDLE OpenProcess(
      DWORD dwDesiredAccess, // 访问标志;
      BOOL bInheritHandle,     // 继承标志;
      DWORD dwProcessId        // 进程ID;
    );
当然,用完别忘了用 CloseHandle 关闭打开的句柄。
读另一个进程的内存 dwDesiredAccess 须指定为 PROCESS_VM_READ ,
写另一个进程的内存 dwDesiredAccess 须指定为 PROCESS_VM_WRITE ,
继承标志无所谓,进程ID可由 Process32First 和 Process32Next 得到,
这两个函数可以枚举出所有开启的进程,这样进程的信息也就得到了。
Process32First 和 Process32Next是由 TLHelp32 单元提供的,需在
uses 里加上TLHelp32。ToolsHelp32 封装了一些访问堆、线程、进程等
的函数,只适用于Win9x,原形如下:
    BOOL WINAPI Process32First(
      HANDLE hSnapshot        // 由 CreateToolhelp32Snapshot 返回
                               的系统快照句柄;
      LPPROCESSENTRY32 lppe // 指向一个 PROCESSENTRY32 结构;
    );
    BOOL WINAPI Process32Next(
      HANDLE hSnapshot        // 由 CreateToolhelp32Snapshot 返回
                               的系统快照句柄;
      LPPROCESSENTRY32 lppe // 指向一个 PROCESSENTRY32 结构;
    );
hSnapshot 由 CreateToolhelp32Snapshot 返回的系统快照句柄;
CreateToolhelp32Snapshot 原形如下:
    HANDLE WINAPI CreateToolhelp32Snapshot(
      DWORD dwFlags,        // 快照标志;
      DWORD th32ProcessID // 进程ID;
    );
现在需要的是进程的信息,所以将 dwFlags 指定为 TH32CS_SNAPPROCESS,
th32ProcessID 忽略;PROCESSENTRY32 结构如下:
    typedef struct tagPROCESSENTRY32 {
      DWORD dwSize;               // 结构大小;
      DWORD cntUsage;             // 此进程的引用计数;
      DWORD th32ProcessID;        // 进程ID;
      DWORD th32DefaultHeapID;    // 进程默认堆ID;
      DWORD th32ModuleID;         // 进程模块ID;
      DWORD cntThreads;           // 此进程开启的线程计数;
      DWORD th32ParentProcessID;// 父进程ID;
      LONG    pcPriClassBase;       // 线程优先权;
      DWORD dwFlags;              // 保留;
      char szExeFile[MAX_PATH]; // 进程全名;
    } PROCESSENTRY32;
至此,所用到的主要函数已介绍完,实现读内存只要从下到上依次调用
上述函数即可,具体参见原代码:

procedure TForm1.Button1Click(Sender: TObject);
var
    FSnapshotHandle:THandle;
    FProcessEntry32:TProcessEntry32;
    Ret : BOOL;
    ProcessID : integer;
    ProcessHndle : THandle;
    lpBuffer:pByte;
    nSize: DWORD;
    lpNumberOfBytesRead: DWORD;
    i:integer;
    s:string;
begin
    FSnapshotHandle:=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
      //创建系统快照
    FProcessEntry32.dwSize:=Sizeof(FProcessEntry32);
      //先初始化 FProcessEntry32 的大小
    Ret:=Process32First(FSnapshotHandle,FProcessEntry32);
    while Ret do
    begin
      s:=ExtractFileName(FProcessEntry32.szExeFile);
      if s='KERNEL32.DLL' then
      begin
        ProcessID:=FProcessEntry32.th32ProcessID;
        s:='';
        break;
      end;
      Ret:=Process32Next(FSnapshotHandle,FProcessEntry32);
    end;
     //循环枚举出系统开启的所有进程,找出“Kernel32.dll”
    CloseHandle(FSnapshotHandle);
    Memo1.Lines.Clear ;
    memo1.lines.add('Process ID '+IntToHex(FProcessEntry32.th32ProcessID,8));
    memo1.lines.Add('File name '+FProcessEntry32.szExeFile);
      ////输出进程的一些信息
    nSize:=4;
    lpBuffer:=AllocMem(nSize);
    ProcessHndle:=OpenProcess(PROCESS_VM_READ,false,ProcessID);
    memo1.Lines.Add ('Process Handle '+intTohex(ProcessHndle,8));
    for i:=$00800001 to $0080005f do
    begin
      ReadProcessMemory(
                       ProcessHndle,
                       Pointer(i),
                       lpBuffer,
                       nSize,
                       lpNumberOfBytesRead
                       );
      s:=s+intTohex(lpBuffer^,2)+' ';
        //读取内容
      if (i mod 16) =0 then
      begin
        Memo1.Lines.Add(s);
        s:='';
      end;
        //格式化输出
    end;
    FreeMem(lpBuffer,nSize);
    CloseHandle(ProcessHndle);
     //关闭句柄,释放内存
end;

作者:网络 来源:转载
共有评论 0相关评论
发表我的评论
  • 大名:
  • 内容:
本类推荐
  • 没有
本类固顶
  • 没有
  • 盒子文章(www.2ccc.com) © 2022 版权所有 All Rights Reserved.
  • 沪ICP备05001939号