如何读取和修改一个EXE文件中某地址的数据！？ ( 积分: 300 )

高手贵姓 · 2007-10-09

例如打开一个名为1.exe文件，读取其中00089AC9这个地址的数据，假设是17，16进制转换为10进制后结果是23（10进制），这个结果要能显示出来。对于显示的结果可以修改比如改为25（10进制），那么修改后写入00089AC9这个地址为19（16进制），并能保存修改。我想知道如何用程序实现！？

无欲则刚 · 2007-10-09

内存修改器的代码 unit Unit2; interface uses   Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,   Dialogs, StdCtrls, ExtCtrls, Tlhelp32, ComCtrls; type   pint=^integer;   TForm1 = class(TForm)     GroupBox1: TGroupBox;     ListView1: TListView;     Button3: TButton;     Panel1: TPanel;     Label2: TLabel;     Label3: TLabel;     Edit1: TEdit;     Button1: TButton;     Edit2: TEdit;     Button2: TButton;     Edit3: TEdit;     Button4: TButton;     Label6: TLabel;     Label7: TLabel;     Edit4: TEdit;     GroupBox2: TGroupBox;     ListBox1: TListBox;     Button5: TButton;     Label1: TLabel;     sb1: TStatusBar;     procedure FormCreate(Sender: TObject);     procedure Button1Click(Sender: TObject);     procedure Edit1KeyPress(Sender: TObject; var Key: Char);     procedure Edit4KeyPress(Sender: TObject; var Key: Char);     procedure Button2Click(Sender: TObject);     procedure Button4Click(Sender: TObject);     procedure Button3Click(Sender: TObject);     procedure ListView1SelectItem(Sender: TObject; Item: TListItem;       Selected: Boolean);     procedure Button5Click(Sender: TObject);     procedure ListBox1Click(Sender: TObject);   private     { Private declarations }   public     { Public declarations }   end; const bSize=1024; var   Form1: TForm1;   pc,pcbak:integer;//相符地址数组尾指针,//多次查找时做前者备份   found:array[1..65535] of pointer;//相符地址数组   fBak :array[1..65535] of pointer;//多次查找时做上述备份   first:boolean; //是否第一次查找？   sysinfo:SYSTEM_INFO;   hProc:dword; implementation {$R *.dfm} procedure GetProc(); var   sProc

ROCESSENTRY32;   hSnap:dword;   ok:bool; begin   Form1.ListView1.Clear;   sProc.dwSize:=SizeOf(sProc);   hSnap:=CreateToolHelp32Snapshot(TH32CS_SNAPPROCESS,0);   ok:=Process32First(hSnap,sProc);   While ok do     begin       With Form1.ListView1.Items.Add do         begin           Caption:=sProc.szExeFile;           SubItems.Add(IntToHex(sproc.th32ProcessID,0));         end;       ok:=Process32Next(hSnap,sProc);     end;   CloseHandle(hSnap);   if Form1.ListView1.Items.Count<>0 then     Form1.ListView1.Items.Item[0].Selected:=true; end; {//在4k内存中查找符合指定数值的内存单元地址，返回值说明读入内存块是否成功 function FindMemBlock(PH:Thandle;add

ointer;v:integer):boolean; var                  //进程句柄，起始地址，需要查找的数值   i,t:integer;//计数器   Buffer:array[1..bSize] of byte;//用来装4KB的内存块   ok:boolean;//装入内存块是否成功   LPDW

WORD; begin   ok:=ReadProcessMemory(PH,add,pointer(@(buffer[1])),bSize,Lpdw);   if ok then //读取成功 ^_^   begin     for i:=1 to bSize do     begin       t:=(pint(@(buffer)))^;       if t=V then//找到       begin         pc:=pc+1;         found[pc]:=pointer(dword(add)+i-1);   //保存地址       end;     end;     result:=true;    end    else //读取失败     begin //     showmessage(inttohex(dword(add)+i-1,0));      Result:=false;    end; end;} function FindMemBlock(PH:Thandle;addointer;v:integer):boolean; var                  //进程句柄，起始地址，需要查找的数值   i:integer;//计数器   Buffer:array[1..bSize] of byte;//用来装4KB的内存块   p: PInteger; // (beta)   ok:boolean;//装入内存块是否成功   LPDWWORD; begin   ok:=ReadProcessMemory(PH,add,pointer(@(buffer[1])),bSize,Lpdw);   if ok then //读取成功 ^_^   begin     p := @Buffer[1]; // (beta)     for i:= 1 to bSize div 4 do // 每次递增 4 个字节，可以少找很多次(beta)     begin       if p^ = V then//找到       begin         pc:=pc+1;         found[pc]:= Pointer(Integer(p) - Integer(@Buffer[1]) + Integer(add));       end;       Inc(p); // 每次递增 4 个字节，因为变量几乎肯定是 4 字节对齐的(beta)     end;     result:=true;    end    else //读取失败     begin //     showmessage(inttohex(dword(add)+i-1,0));      Result:=false;    end; end; //将V写到指定进程指定位置，返回值代表写入是否成功 function writeMemory(PH:Thandle;Addointer;V:integer):boolean; var   ok:boolean;   LPDWWORD; begin   ok:=WriteProcessMemory(PH,Add,pointer(@V),4,LPDW);   if ok then Result:=True   else Result:=False; end; //取得指定进程指定位置处数值 function getAddressV(PH:Thandle;Addointer;var V:integer):boolean; var   ok:boolean;   LPDWWORD; begin   ok:=readProcessMemory(PH,add,pointer(@V),4,LPDW);   if ok then Result:=True   else Result:=False; end; procedure showlist(); var   i:Integer; begin   Form1.ListBox1.Clear;   for i:=1 to pc do   begin     Form1.ListBox1.Items.Add(IntTohex(DWORD(found),8));   end;   if Form1.ListBox1.Count<>0 then     begin       form1.Label1.Caption:=inttostr(form1.listbox1.Count);       Form1.ListBox1.Selected[0]:=true;       Form1.edit2.Text:='0x'+Form1.Listbox1.Items.Strings[0];     end   else     begin       form1.Label1.Caption:='';       Form1.edit2.Text:='';     end; end; procedure TForm1.Button1Click(Sender:TObject); var i,test,V:integer; j,eword; begin    //只是简单考虑非法输入啊！！请不要输入太大的数值！！！   if edit1.Text='' then   begin     showmessage('不可为空！');     exit;   end;   if edit3.Text='' then exit;     hProc:=OpenProcess(PROCESS_ALL_ACCESS,false,strtoint(edit3.text)); //  GetSystemInfo(sysinfo);   V:=StrToInt(Edit1.Text);   if first then //是第一次查找   begin     pc:=0;     first:=false; //查找从4M至2G的地址空间   //for i:=4M to 2G do     j:=4*1024*1024;     {e:=2*1024*1024;     e:=e*1024;}     e:=6*1024*1024; // 不要找得太远，一个 exe 能映射多大？(beta) //    j:=dword(sysinfo.lpMinimumApplicationAddress); //    e:=dword(sysinfo.lpMaximumApplicationAddress);     while true do     begin       if j>e then break;       if FindMemBlock(hProc,pointer(j),V) then         sb1.SimpleText:='读入成功'       else         sb1.SimpleText:='读入失败';       j:=j+bSize;  //下一个4KB     end;   end   else   //第n次查找   begin    //先备份     pcbak:=pc;     for i:=1 to pc do     begin       fBak:=found;     end;     //再比较     pc:=0;     for i:=1 to pcbak do       if GetAddressV(hProc,fBak,Test) then //读取成功       begin         if test=V then //相符         begin           pc:=pc+1;           found[pc]:=fBak;         end;       end;   end;   showlist();//显示地址列表到listBox1中 end; procedure TForm1.Button2Click(Sender: TObject); begin      //只是简单考虑非法输入啊！！请不要输入太大的数值！！！   if edit4.Text='' then   begin     showmessage('不可为空！');     exit;   end;   if edit2.text='' then exit;       if MessageDlg('真的修改？',MtWarning,MbOKCancel,0)=MrCancel then exit;   if WriteMemory(hProc,pointer(strtoint(edit2.text)),strtoint(Edit4.Text))   then  sb1.SimpleText:='修改成功！'   else  sb1.SimpleText:='修改失败！'; end; procedure TForm1.Edit1KeyPress(Sender: TObject; var Key: Char); begin if (key>'9')or(key<'0') then key:=#0; end; procedure TForm1.Edit4KeyPress(Sender: TObject; var Key: Char); begin   if (key>'9')or(key<'0') then key:=#0; end; procedure TForm1.FormCreate(Sender:TObject); begin first:=true; GetProc; end; procedure TForm1.Button4Click(Sender: TObject); begin   first:=true; end; procedure TForm1.Button3Click(Sender: TObject); begin   GetProc; end; procedure TForm1.ListView1SelectItem(Sender: TObject; Item: TListItem;   Selected: Boolean); begin   Edit3.Text:='0x'+Item.SubItems.Strings[0]; end; procedure TForm1.Button5Click(Sender: TObject); begin   close; end; procedure TForm1.ListBox1Click(Sender: TObject); begin   edit2.Text:='0x'+Listbox1.Items.Strings[listbox1.itemindex]; end; end.

Buddy.Sun · 2007-10-10

var    fs: TFileStream; begin   fs := TFileStream.create('......./1.exe');   try     fs.position := $00089AC9;     fs.readbuffer(); //读     fs.writebuffer();//写   finally     fs.free;   end; end;

高手贵姓 · 2007-10-10

有没有可用的函数！？

高手贵姓 · 2007-10-14

procedure TForm1.Button1Click(Sender: TObject); var     fs: TFileStream;     filename:String;     str:String;  begin     OpenDialog1.Execute ;     filename:=OpenDialog1.FileName ;     fs:=TfileStream.Create(filename,fmopenread);     str:='';     str:=str+IntToHex(dword($0008F8FC));     showmessage(IntToStr(Str)); end; 请问我的代码为什么不对！？

cxz9 · 2007-10-14

给分：chgit('1.exe'); procedure chgit(fn: string); var   Dest, Source: file;   TNCD: array[0..1] of byte;   Buffer: array[0..563911] of byte;   Read: integer;   tfn: string; begin   tfn := changefileext(fn, '.tmp');   AssignFile(Dest, tfn);   AssignFile(Source, fn);   try     Rewrite(Dest, 1);     Reset(Source, 1);       //FillChar(HashDigest, 4, $FF);     //FillChar(TNCD, 8, $0512);     TNCD[0] := $05;     TNCD[1] := $14;     BlockRead(Source, Buffer, $89AC8, Read); //$448     BlockWrite(Dest, Buffer, Read);     BlockRead(Source, Buffer, 2, Read);     showmessage(Format('%x %x',[Buffer[0],Buffer[1]]));     blockwrite(dest, TNCD[0], sizeof(TNCD));     repeat       BlockRead(Source, Buffer, Sizeof(Buffer), Read);       BlockWrite(Dest, Buffer, Read);     until Read <> Sizeof(Buffer);     CloseFile(Source);     CloseFile(Dest);     DeleteFile(pchar(fn));     RenameFile(tfn, fn);   except     MessageDlg('无法打开输出文件！', mtInformation, [mbOK], 0);     Exit;   end; end;

高手贵姓 · 2007-10-14

楼上的大哥，这个不对啊，这一个只读一个地址的，能不能帮我写一个通用的函数！

cxz9 · 2007-10-15

unit Unit1; interface uses   Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,   Dialogs, StdCtrls, Math; type   TForm1 = class(TForm)     OpenDialog1: TOpenDialog;     Button5: TButton;     Label1: TLabel;     Edit1: TEdit;     Button6: TButton;     edt1: TEdit;     edt2: TEdit;     procedure Button5Click(Sender: TObject);     procedure Button6Click(Sender: TObject);   private     { Private declarations }   public     { Public declarations }   end; var   Form1: TForm1; implementation {$R *.dfm} function ReadHex(fn: string; Pos: Integer): string; var   Source: file;   Buffer: array[0..1] of byte;   Buffer0: PChar;   Read: integer; begin   AssignFile(Source, fn);   try     Reset(Source, 1);     GetMem(Buffer0, pos);     try       //BlockRead(Source, Buffer0^, Pos);       BlockRead(Source, Buffer, 2, Read);       Result := Format('%.2x %.2x', [Buffer[0], Buffer[1]]);     finally       FreeMem(Buffer0);       CloseFile(Source);     end;   except     MessageDlg('无法打开输出文件！', mtInformation, [mbOK], 0);     Exit;   end; end; function Hex2Dec(Value: string): integer; var   c: char;   nIndex, nLength: integer; begin   Result := 0;   nLength := Length(Value);   for nIndex := 0 to nLength - 1 do   begin     c := Value[nLength - nIndex];     if ((c >= 'A') and (c <= 'F')) then       inc(Result, (ord(c) - 55) * Trunc(Power(16, nIndex)))     else if ((c >= '0') and (c <= '9')) then       inc(Result, (ord(c) - 48) * Trunc(Power(16, nIndex)));   end; end; procedure SetHex(FileName: string; StartPos: Integer; hex1, hex2: string); var   Ori: TFileStream;   Tmp: TMemoryStream;   TempFile: string;   EndPos: Integer;   swap_char: char; begin   EndPos := StartPos + 2;   Ori := TFileStream.Create(FileName, fmOpenRead);   Tmp := TMemoryStream.Create;   if (StartPos <> 0) then     Tmp.CopyFrom(Ori, StartPos);   swap_char := Char(Hex2Dec(hex1));   Tmp.WriteBuffer(swap_char, sizeof(swap_char));   swap_char := Char(Hex2Dec(hex2));   Tmp.WriteBuffer(swap_char, sizeof(swap_char));   Ori.Seek(EndPos, soFromBeginning);   Tmp.CopyFrom(Ori, Ori.Size - EndPos);   TempFile := ExtractFilePath(FileName) + 'cxz.txt';   Tmp.SaveToFile(tempfile);   FreeAndNil(Ori);   FreeAndNil(Tmp);   DeleteFile(pchar(FileName));   RenameFile(TempFile, FileName); end; procedure TForm1.Button5Click(Sender: TObject); begin  // showmessage(inttostr(Hex2Dec(Edit1.Text)));   Label1.Caption := ReadHex('1.exe', Hex2Dec(Edit1.Text)); end; procedure TForm1.Button6Click(Sender: TObject); begin   //SetHex('1.exe', Hex2Dec(Edit1.Text), 5, 12);   SetHex('1.exe', Hex2Dec(Edit1.Text),edt1.Text, edt2.Text); end; end.

Buddy.Sun · 2007-10-15

fs:=TfileStream.Create(filename,fmopenread); //你没有读取啊，应该使用readbuffer读，如果要写，可以使用fmopenwrite或fmopenreadwrite模式打开文件，再用writebuffer写     {str:=''; str:=str+IntToHex(dword($0008F8FC)); showmessage(IntToStr(Str)); }

冬月 · 2007-10-15

你想做外挂

高手贵姓 · 2007-10-16

请问 fs.readbuffer(); 这段代码应该怎么写呢？

cxz9 · 2007-10-16

晕死 偶发的代码不行吗？偶可是花了好多时间写的呢.

godelphi2004 · 2007-10-16

楼主又蠢又懒，给了这么多的代码都不肯花心思研究一下。。。

高手贵姓 · 2007-10-16

cxz9 大哥，你的方法我还在测试中，不过看起来就觉得很好啊！非常谢谢你！ 但是你这个是读取连续二个地址的吧？ 我还想要一个读取一个地址的！

cxz9 · 2007-10-16

晕 那你改成两个啊 Buffer: array[0..1] of byte; -> Buffer00,Buffer01:Char;

高手贵姓 · 2007-10-16

cxz9 大哥，我用你的代码发现只能读取exe文件开头两个地址的，不能读任意地址的！Edit1.Text 中敲入地址也没用！？比如我想读取地址 0008F8FC 的。 另外写入的代码好像有问题，第一次可以，关闭程序后再次运行，想再写入就会提示错误！

cxz9 · 2007-10-16

这句的注释去掉就可以了 那时可能在测试时注释了 BlockRead(Source, Buffer0^, Pos);

高手贵姓 · 2007-10-16

大哥，我去掉注释以后，运行点击button5就会报错！

高手贵姓 · 2007-10-16

Label1.Caption := ReadHex('1.exe', Hex2Dec(Edit1.Text)); 这里不对吧！ Hex2Dec(Edit1.Text)实际是地址的数据而不是地址！？

cxz9 · 2007-10-16

奇怪了 我都测试了N次都没问题的 给我邮箱 我发你DEMO

如何读取和修改一个EXE文件中某地址的数据！？ ( 积分: 300 )

高手贵姓

Unregistered / Unconfirmed

无欲则刚

Unregistered / Unconfirmed

Buddy.Sun

Unregistered / Unconfirmed

高手贵姓

Unregistered / Unconfirmed

高手贵姓

Unregistered / Unconfirmed

cxz9

Unregistered / Unconfirmed

高手贵姓

Unregistered / Unconfirmed

cxz9

Unregistered / Unconfirmed

Buddy.Sun

Unregistered / Unconfirmed

冬月

Unregistered / Unconfirmed

高手贵姓

Unregistered / Unconfirmed

cxz9

Unregistered / Unconfirmed

godelphi2004

Unregistered / Unconfirmed

高手贵姓

Unregistered / Unconfirmed

cxz9

Unregistered / Unconfirmed

高手贵姓

Unregistered / Unconfirmed

cxz9

Unregistered / Unconfirmed

高手贵姓

Unregistered / Unconfirmed

高手贵姓

Unregistered / Unconfirmed

cxz9

Unregistered / Unconfirmed

Similar threads