---

※ 引述《jodo1984 (XDDD)》之銘言：
: ※ 引述《jodo1984 (XDDD)》之銘言：
: : 今天上級指示 要我想辦法弄出一支程式, 最好是VB6 (冏)
: : 可以讀取電腦目前所有正在的執行應用程式
: : 記憶體內容與位置
: : 他們是說有點像遊戲修改大師, 我覺得有點像是window裝置管理員
: : 請問有前輩有寫過這種嗎?
: : 可以指點一下嗎? 謝謝
: : C可以做到嗎?
: 這個專案因為某些因素停擺了一陣子，現在主管又想到要我繼續開始....
: 之前已經做到可以撈到應用程式內部的記憶體資料
: 但是面臨了一些問題，想問看看前輩們有沒有類似的經驗
: 1.我是透過WINAPI去撈應用程式的資料，但是如果應用程式關掉重開或者
:   電腦重開機原本的存放內部記憶體位址就會更動(這是在XP的情況下)

   與XP/W7無關

: 2.在WIN7或WIN98我所撈到的記憶體位址都是暫存的位址，原本的位址的資料
:   隨時都會更動
: 我在想是不是我透過API抓的位址資料都是虛擬位址的，所以有沒有辦法
: 直接存取到實體記憶體，請問各位前輩有類似的經驗或想法可以指點我嗎?

  在WINDOWS裡所有32BIT程式都是拿到OS分配的虛擬記憶體

  一般由0x400000開始為程式主體,以下為堆棧,

  最大到0x7FFFFF,0x800000就到R0了


  記憶體位址會變,和變數本身層級、指標、編譯器有關


  以上為個人粗淺的理解,可能有錯

-----------------------------------------------------------
  你的問題和 實體/虛擬 完全無關


  以一層偏移來說:表示法[[401000]+1C]

  你必需先找到其基址(固定位置)如0x401000,

  用ReadProcessMemory 讀出內容如:0x5B1000 <<每次都不一樣

  再加上偏移0x1C = 5B101C

  再由ReadProcessMemory 讀出 0x5B101C裡的內容,才是你要的


  其由401000(固定位置,內容不定)稱為基址,0x1C為其偏移


  實務上,你必需要先找到0x5B101C，再反向找到其基址和偏移


  要如何反向找到基址,則需要有些許的ASM基礎和反組譯的經驗



  和寫GAME外掛一樣,有幾個關鍵字給您參考(大陸用語)

  OD 反組譯軟體,Cheat Engine　記憶體修改軟體,基址,偏移

--

※ 編輯: chinoyan        來自: 59.127.140.29        (12/14 04:28)

--