萧
萧枫
Unregistered / Unconfirmed
GUEST, unregistred user!
各位大侠:小弟有一问题,本人想修改WIN98或是WIN2000的内存,一般情况下先要得到该<br>程序窗口的HANDEL,但不知道如何修改该程序的内存,大侠们帮帮忙吧,谢了
K
Kill Night
Unregistered / Unconfirmed
GUEST, unregistred user!
试试改注册表
萧
萧枫
Unregistered / Unconfirmed
GUEST, unregistred user!
改注册表吗?<br>我所需要的是动态的修改呀!就象是FPE或是其他内存修改工具一样的方法(当然我知道FP<br>E在2000下是不能用的,2000好象有内存的保护?)
B
BaKuBaKu
Unregistered / Unconfirmed
GUEST, unregistred user!
好像应该要得到 Ring0 级的优先权。
萧
萧枫
Unregistered / Unconfirmed
GUEST, unregistred user!
高手们高手们在哪???!!!help me.....
S
StrayBear
Unregistered / Unconfirmed
GUEST, unregistred user!
让我来告诉你怎么做:<br>首先,你要明白几个前提:<br>1:修改内存只是针对某个进程而言,你只能修改某个进程的内存,这里所有的内存只是指<br>虚拟内存<br>2:某些系统进程的内存无法修改<br>3:某个进程内的内存只能是部分修改,而不能全部修改。<br>明白以上前提后,就好说了,首先你要能够取得系统的调试特权,取到后,你通过枚举<br>系统进程的方法得到你要操作的进程的id,然后用OpenProcess函数打开他,得到它的<br>句柄,最后你可以用ReadProcessMemory读取次进程的内存,用WriteProcessMemory修改<br>次进程的内存,具体函数的用法你可以参照msdn,内有很详细的介绍!!!<br>我自己写过一个工具是nt版的!
萧
萧枫
Unregistered / Unconfirmed
GUEST, unregistred user!
To StrayBear:<br><br> 您所说的这种方法我试过了,你能用BCB4。0写一个写NT2000的范例程序给我吗?<br> 我查过很多资料,NT2000的内存要写不是太容易,不知道是不是这样的!<br> mail to :microboys@163.net<br> 给我例子我再给你一百分,谢了
W
wolf_cyj
Unregistered / Unconfirmed
GUEST, unregistred user!
给我一份好吗?
S
StrayBear
Unregistered / Unconfirmed
GUEST, unregistred user!
你要写内存的话,是受到很大的限制的(如只能是一段内存区域,区域你可以通过查找的办法<br>得到,当然查找时第增量为0x1000,就可以的拉),但肯定可以写,不过这段时间在赶一个项目,写<br>2000下的程序是时间了的了!!!如果nt下的你要的话,可以给你一份!!!
B
bluely
Unregistered / Unconfirmed
GUEST, unregistred user!
这是我写的一个内存修改程序的某段(是个cracker内存补丁),相信对你会有帮助<br><br>procedure TForm1.Button1Click(Sender: TObject);<br>var<br> FSnapshotHandle:THandle;<br> FProcessEntry32:TProcessEntry32;<br> Ret : BOOL;<br> ProcessID : integer;<br> ProcessHndle : THandle;<br> lpBuffer
byte;<br> nSize: DWORD;<br> lpNumberOfBytesWrite: DWORD;<br> i:integer;<br> s:string;<br>begin<br> FSnapshotHandle:=CreateToolhelp32Snapshot(<br>TH32CS_SNAPPROCESS,0);<br> //创建系统快照<br> FProcessEntry32.dwSize:=Sizeof(FProcessEntry32);<br> //先初始化 FProcessEntry32 的大小<br> Ret:=Process32First(FSnapshotHandle,FProcessEntry32);<br> while Ret do<br> begin<br> s:=ExtractFileName(FProcessEntry32.szExeFile);<br> if s='xxxx.EXE' then //你要修改的exe文件名<br> begin<br> ProcessID:=FProcessEntry32.th32ProcessID;<br> s:='';<br> break;<br> end;<br> Ret:=Process32Next(FSnapshotHandle,FProcessEntry32);<br> end;<br> //循环枚举出系统开启的所有进程,找出“G:/xxx/xxx.exe”<br> CloseHandle(FSnapshotHandle);<br> //Memo1.Lines.Clear ;<br> //memo1.lines.add('Process ID '+IntToHex(FProcessEntry32.th32ProcessID));<br> //memo1.lines.Add('File name '+FProcessEntry32.szExeFile);<br> ////输出进程的一些信息<br> nSize:=2;<br> lpBuffer:=AllocMem(nSize);<br> ProcessHndle:=OpenProcess(PROCESS_VM_WRITE,false,ProcessID);<br>//现在可以开始修改了。i是内存偏移地址,lpbuffer是要修改的数值<br> i:=$00451ebd;<br> lpbuffer^:=$84;<br> WriteProcessMemory(<br> ProcessHndle,<br> Pointer(i),<br> lpBuffer,<br> nSize,<br> lpNumberOfBytesWRite<br>  
;<br>//下面是读内存的方法<br> ReadProcessMemory(<br> ProcessHndle,<br> Pointer(i),<br> lpBuffer,<br> nSize,<br> lpNumberOfBytesWRite<br> <br> edit1.text:=inttohex(i)+' value Is:'+intTohex(lpBuffer^);<br> FreeMem(lpBuffer,nSize);<br> CloseHandle(ProcessHndle);<br> application.Terminate;<br> //关闭句柄,释放内存<br>end;<br><br>记得把 TLHelp32加入到use,单这个单元只能在win9x下,nt下不能用的。<br><br><br>
byte;<br> nSize: DWORD;<br> lpNumberOfBytesWrite: DWORD;<br> i:integer;<br> s:string;<br>begin<br> FSnapshotHandle:=CreateToolhelp32Snapshot(<br>TH32CS_SNAPPROCESS,0);<br> //创建系统快照<br> FProcessEntry32.dwSize:=Sizeof(FProcessEntry32);<br> //先初始化 FProcessEntry32 的大小<br> Ret:=Process32First(FSnapshotHandle,FProcessEntry32);<br> while Ret do<br> begin<br> s:=ExtractFileName(FProcessEntry32.szExeFile);<br> if s='xxxx.EXE' then //你要修改的exe文件名<br> begin<br> ProcessID:=FProcessEntry32.th32ProcessID;<br> s:='';<br> break;<br> end;<br> Ret:=Process32Next(FSnapshotHandle,FProcessEntry32);<br> end;<br> //循环枚举出系统开启的所有进程,找出“G:/xxx/xxx.exe”<br> CloseHandle(FSnapshotHandle);<br> //Memo1.Lines.Clear ;<br> //memo1.lines.add('Process ID '+IntToHex(FProcessEntry32.th32ProcessID));<br> //memo1.lines.Add('File name '+FProcessEntry32.szExeFile);<br> ////输出进程的一些信息<br> nSize:=2;<br> lpBuffer:=AllocMem(nSize);<br> ProcessHndle:=OpenProcess(PROCESS_VM_WRITE,false,ProcessID);<br>//现在可以开始修改了。i是内存偏移地址,lpbuffer是要修改的数值<br> i:=$00451ebd;<br> lpbuffer^:=$84;<br> WriteProcessMemory(<br> ProcessHndle,<br> Pointer(i),<br> lpBuffer,<br> nSize,<br> lpNumberOfBytesWRite<br> <br>//下面是读内存的方法<br> ReadProcessMemory(<br> ProcessHndle,<br> Pointer(i),<br> lpBuffer,<br> nSize,<br> lpNumberOfBytesWRite<br> <br> edit1.text:=inttohex(i)+' value Is:'+intTohex(lpBuffer^);<br> FreeMem(lpBuffer,nSize);<br> CloseHandle(ProcessHndle);<br> application.Terminate;<br> //关闭句柄,释放内存<br>end;<br><br>记得把 TLHelp32加入到use,单这个单元只能在win9x下,nt下不能用的。<br><br><br>
W
WorldCreater
Unregistered / Unconfirmed
GUEST, unregistred user!
听听
J
Jams
Unregistered / Unconfirmed
GUEST, unregistred user!
>>
萧
萧枫
Unregistered / Unconfirmed
GUEST, unregistred user!
OK,我先试试,先给你100分
X
xxhsh
Unregistered / Unconfirmed
GUEST, unregistred user!
to bluely:<br>ProcessID 没有初始化??<br>
大
大木马
Unregistered / Unconfirmed
GUEST, unregistred user!
xzxzxzxz
冬
冬月
Unregistered / Unconfirmed
GUEST, unregistred user!
请问<br>//现在可以开始修改了。i是内存偏移地址,lpbuffer是要修改的数值<br> i:=$00451ebd;<br>这个地址偏移地址是如何的到的,
F
fffddd
Unregistered / Unconfirmed
GUEST, unregistred user!
关注如何得到这个内存的偏移地址?