M
maddoc
Unregistered / Unconfirmed
GUEST, unregistred user!
我就是想知道,我在内存中指定好了一个邮件槽,然后我想从数据中的比如第3个位置读起,读到的五个怎么办
大家帮忙亚
大家帮忙亚
P
Pearl.
Unregistered / Unconfirmed
GUEST, unregistred user!
内存是谁建的? 你的程序吗?
是的话和普通操作一样呀
buffer: pointer;
detail: string;
buffer := allocmem(81920);
setlength(detail, 1024*3);
move(pchar(integer(buffer)+1024*3)^, detail[1], 1024*3);
是的话和普通操作一样呀
buffer: pointer;
detail: string;
buffer := allocmem(81920);
setlength(detail, 1024*3);
move(pchar(integer(buffer)+1024*3)^, detail[1], 1024*3);
B
beta
Unregistered / Unconfirmed
GUEST, unregistred user!
读 邮件槽 不就是用 ReadFile 吗,ReadFile 的最后一个参数 LPOVERLAPPED lpOverlapped
可以指定偏移地址啊:lpOverlapped.Offset 将其设置为 3, 传入 ReadFile 的最后一个参数
然后将 2 (即5 - 3) 传入 ReadFile 的第三个参数:nNumberOfBytesToRead 不就可以了吗?
可以指定偏移地址啊:lpOverlapped.Offset 将其设置为 3, 传入 ReadFile 的最后一个参数
然后将 2 (即5 - 3) 传入 ReadFile 的第三个参数:nNumberOfBytesToRead 不就可以了吗?
D
duducat
Unregistered / Unconfirmed
GUEST, unregistred user!
在WIN32中,每个应用程序都可“看见”4GB的线性地址空间,其中最开始的4MB和最后的2GB由操作系统保留,剩下不足2GB的空间用于应用程序私有空间。具体分配如下:0xFFFFFFFF-0xC0000000的1GB用于VxD、存储器管理和文件系统;0xBFFFFFFF-0x80000000的1GB用于共享的WIN32 DLL、存储器映射文件和共享存储区;0x7FFFFFFF-0x00400000为每个进程的WIN32专用地址;0x003FFFFF-0x00001000为MS-DOS 和 WIN16应用程序;0x00000FFF-0x00000000为防止使用空指针的4,096字节。以上都是指逻辑地址,也就是虚拟内存。
---- 虚拟内存通常是由固定大小的块来实现的,在WIN32中这些块称为“页”,每页大小为4,096字节。在Intel CPU结构中,通过在一个控制寄存器中设置一位来启用分页。启用分页时CPU并不能直接访问内存,对每个地址要经过一个映射进程,通过一系列称作“页表”的查找表把虚拟内存地址映射成实际内存地址。通过使用硬件地址映射和页表WIN32可使虚拟内存即有好的性能而且还提供保护。利用处理器的页映射能力,操作系统为每个进程提供独立的从逻辑地址到物理地址的映射,使每个进程的地址空间对另一个进程完全不可见。WIN32中也提供了一些访问进程内存空间的函数,但使用时要谨慎,一不小心就有可能破坏被访问的进程。本文介绍如何读另一个进程的内存,写内存与之相似,完善一下你也可以做个 FPE 之类的内存修改工具。好吧,先准备好编程利器Delphi 和 参考手册 MSDN ,Now begin!
ReadProcessMemory 读另一个进程的内存,原形如下:
BOOL ReadProcessMemory(
HANDLE hProcess, // 被读取进程的句柄;
LPCVOID lpBaseAddress, // 读的起始地址;
LPVOID lpBuffer, // 存放读取数据缓冲区;
DWORD nSize, // 一次读取的字节数;
LPDWORD lpNumberOfBytesRead // 实际读取的字节数;
);
hProcess 进程句柄可由OpenProcess 函数得到,原形如下:
HANDLE OpenProcess(
DWORD dwDesiredAccess, // 访问标志;
BOOL bInheritHandle, // 继承标志;
DWORD dwProcessId // 进程ID;
);
---- 当然,用完别忘了用 CloseHandle 关闭打开的句柄。读另一个进程的内存 dwDesiredAccess 须指定为 PROCESS_VM_READ ,写另一个进程的内存 dwDesiredAccess 须指定为 PROCESS_VM_WRITE ,继承标志无所谓,进程ID可由 Process32First 和 Process32Next 得到,这两个函数可以枚举出所有开启的进程,这样进程的信息也就得到了。 Process32First 和 Process32Next是由 TLHelp32 单元提供的,需在 uses 里加上TLHelp32。ToolsHelp32 封装了一些访问堆、线程、进程等的函数,只适用于Win9x,原形如下:
BOOL WINAPI Process32First(
HANDLE hSnapshot //
由 CreateToolhelp32Snapshot 返回
的系统快照句柄;
LPPROCESSENTRY32 lppe // 指向一个 PROCESSENTRY32 结构;
);
BOOL WINAPI Process32Next(
HANDLE hSnapshot // 由 CreateToolhelp32Snapshot 返回
的系统快照句柄;
LPPROCESSENTRY32 lppe // 指向一个 PROCESSENTRY32 结构;
);
hSnapshot 由 CreateToolhelp32Snapshot 返回的系统快照句柄;
CreateToolhelp32Snapshot 原形如下:
HANDLE WINAPI CreateToolhelp32Snapshot(
DWORD dwFlags, // 快照标志;
DWORD th32ProcessID // 进程ID;
);
现在需要的是进程的信息,所以将 dwFlags
指定为 TH32CS_SNAPPROCESS,
th32ProcessID 忽略;PROCESSENTRY32 结构如下:
typedef struct tagPROCESSENTRY32 {
DWORD dwSize
// 结构大小;
DWORD cntUsage
// 此进程的引用计数;
DWORD th32ProcessID
// 进程ID;
DWORD th32DefaultHeapID
// 进程默认堆ID;
DWORD th32ModuleID
// 进程模块ID;
DWORD cntThreads
// 此进程开启的线程计数;
DWORD th32ParentProcessID;// 父进程ID;
LONG pcPriClassBase
// 线程优先权;
DWORD dwFlags
// 保留;
char szExeFile[MAX_PATH]
// 进程全名;
} PROCESSENTRY32;
---- 至此,所用到的主要函数已介绍完,实现读内存只要从下到上依次调用上述函数即可,具体参见原代码:
procedure TForm1.Button1Click(Sender: TObject);
var
FSnapshotHandle:THandle;
FProcessEntry32:TProcessEntry32;
Ret : BOOL;
ProcessID : integer;
ProcessHndle : THandle;
lpBuffer
Byte;
nSize: DWORD;
lpNumberOfBytesRead: DWORD;
i:integer;
s:string;
begin
FSnapshotHandle:=CreateToolhelp32Snapshot(
TH32CS_SNAPPROCESS,0);
//创建系统快照
FProcessEntry32.dwSize:=Sizeof(FProcessEntry32);
//先初始化 FProcessEntry32 的大小
Ret:=Process32First(FSnapshotHandle,FProcessEntry32);
while Ret do
begin
s:=ExtractFileName(FProcessEntry32.szExeFile);
if s='KERNEL32.DLL' then
begin
ProcessID:=FProcessEntry32.th32ProcessID;
s:='';
break;
end;
Ret:=Process32Next(FSnapshotHandle,FProcessEntry32);
end;
//循环枚举出系统开启的所有进程,找出“Kernel32.dll”
CloseHandle(FSnapshotHandle);
Memo1.Lines.Clear
memo1.lines.add('Process ID '+IntToHex(
FProcessEntry32.th32ProcessID,8));
memo1.lines.Add('File name '+FProcessEntry32.szExeFile);
////输出进程的一些信息
nSize:=4;
lpBuffer:=AllocMem(nSize);
ProcessHndle:=OpenProcess(PROCESS_VM_READ,false,ProcessID);
memo1.Lines.Add ('Process Handle '+intTohex(ProcessHndle,8));
for i:=$00800001 to $0080005f do
begin
ReadProcessMemory(
ProcessHndle,
Pointer(i),
lpBuffer,
nSize,
lpNumberOfBytesRead
);
s:=s+intTohex(lpBuffer^,2)+' ';
//读取内容
if (i mod 16) =0 then
begin
Memo1.Lines.Add(s);
s:='';
end;
//格式化输出
end;
FreeMem(lpBuffer,nSize);
CloseHandle(ProcessHndle);
//关闭句柄,释放内存
end
---- 虚拟内存通常是由固定大小的块来实现的,在WIN32中这些块称为“页”,每页大小为4,096字节。在Intel CPU结构中,通过在一个控制寄存器中设置一位来启用分页。启用分页时CPU并不能直接访问内存,对每个地址要经过一个映射进程,通过一系列称作“页表”的查找表把虚拟内存地址映射成实际内存地址。通过使用硬件地址映射和页表WIN32可使虚拟内存即有好的性能而且还提供保护。利用处理器的页映射能力,操作系统为每个进程提供独立的从逻辑地址到物理地址的映射,使每个进程的地址空间对另一个进程完全不可见。WIN32中也提供了一些访问进程内存空间的函数,但使用时要谨慎,一不小心就有可能破坏被访问的进程。本文介绍如何读另一个进程的内存,写内存与之相似,完善一下你也可以做个 FPE 之类的内存修改工具。好吧,先准备好编程利器Delphi 和 参考手册 MSDN ,Now begin!
ReadProcessMemory 读另一个进程的内存,原形如下:
BOOL ReadProcessMemory(
HANDLE hProcess, // 被读取进程的句柄;
LPCVOID lpBaseAddress, // 读的起始地址;
LPVOID lpBuffer, // 存放读取数据缓冲区;
DWORD nSize, // 一次读取的字节数;
LPDWORD lpNumberOfBytesRead // 实际读取的字节数;
);
hProcess 进程句柄可由OpenProcess 函数得到,原形如下:
HANDLE OpenProcess(
DWORD dwDesiredAccess, // 访问标志;
BOOL bInheritHandle, // 继承标志;
DWORD dwProcessId // 进程ID;
);
---- 当然,用完别忘了用 CloseHandle 关闭打开的句柄。读另一个进程的内存 dwDesiredAccess 须指定为 PROCESS_VM_READ ,写另一个进程的内存 dwDesiredAccess 须指定为 PROCESS_VM_WRITE ,继承标志无所谓,进程ID可由 Process32First 和 Process32Next 得到,这两个函数可以枚举出所有开启的进程,这样进程的信息也就得到了。 Process32First 和 Process32Next是由 TLHelp32 单元提供的,需在 uses 里加上TLHelp32。ToolsHelp32 封装了一些访问堆、线程、进程等的函数,只适用于Win9x,原形如下:
BOOL WINAPI Process32First(
HANDLE hSnapshot //
由 CreateToolhelp32Snapshot 返回
的系统快照句柄;
LPPROCESSENTRY32 lppe // 指向一个 PROCESSENTRY32 结构;
);
BOOL WINAPI Process32Next(
HANDLE hSnapshot // 由 CreateToolhelp32Snapshot 返回
的系统快照句柄;
LPPROCESSENTRY32 lppe // 指向一个 PROCESSENTRY32 结构;
);
hSnapshot 由 CreateToolhelp32Snapshot 返回的系统快照句柄;
CreateToolhelp32Snapshot 原形如下:
HANDLE WINAPI CreateToolhelp32Snapshot(
DWORD dwFlags, // 快照标志;
DWORD th32ProcessID // 进程ID;
);
现在需要的是进程的信息,所以将 dwFlags
指定为 TH32CS_SNAPPROCESS,
th32ProcessID 忽略;PROCESSENTRY32 结构如下:
typedef struct tagPROCESSENTRY32 {
DWORD dwSize
// 结构大小;
DWORD cntUsage
// 此进程的引用计数;
DWORD th32ProcessID
// 进程ID;
DWORD th32DefaultHeapID
// 进程默认堆ID;
DWORD th32ModuleID
// 进程模块ID;
DWORD cntThreads
// 此进程开启的线程计数;
DWORD th32ParentProcessID;// 父进程ID;
LONG pcPriClassBase
// 线程优先权;
DWORD dwFlags
// 保留;
char szExeFile[MAX_PATH]
// 进程全名;
} PROCESSENTRY32;
---- 至此,所用到的主要函数已介绍完,实现读内存只要从下到上依次调用上述函数即可,具体参见原代码:
procedure TForm1.Button1Click(Sender: TObject);
var
FSnapshotHandle:THandle;
FProcessEntry32:TProcessEntry32;
Ret : BOOL;
ProcessID : integer;
ProcessHndle : THandle;
lpBuffer
Byte;nSize: DWORD;
lpNumberOfBytesRead: DWORD;
i:integer;
s:string;
begin
FSnapshotHandle:=CreateToolhelp32Snapshot(
TH32CS_SNAPPROCESS,0);
//创建系统快照
FProcessEntry32.dwSize:=Sizeof(FProcessEntry32);
//先初始化 FProcessEntry32 的大小
Ret:=Process32First(FSnapshotHandle,FProcessEntry32);
while Ret do
begin
s:=ExtractFileName(FProcessEntry32.szExeFile);
if s='KERNEL32.DLL' then
begin
ProcessID:=FProcessEntry32.th32ProcessID;
s:='';
break;
end;
Ret:=Process32Next(FSnapshotHandle,FProcessEntry32);
end;
//循环枚举出系统开启的所有进程,找出“Kernel32.dll”
CloseHandle(FSnapshotHandle);
Memo1.Lines.Clear
memo1.lines.add('Process ID '+IntToHex(
FProcessEntry32.th32ProcessID,8));
memo1.lines.Add('File name '+FProcessEntry32.szExeFile);
////输出进程的一些信息
nSize:=4;
lpBuffer:=AllocMem(nSize);
ProcessHndle:=OpenProcess(PROCESS_VM_READ,false,ProcessID);
memo1.Lines.Add ('Process Handle '+intTohex(ProcessHndle,8));
for i:=$00800001 to $0080005f do
begin
ReadProcessMemory(
ProcessHndle,
Pointer(i),
lpBuffer,
nSize,
lpNumberOfBytesRead
);
s:=s+intTohex(lpBuffer^,2)+' ';
//读取内容
if (i mod 16) =0 then
begin
Memo1.Lines.Add(s);
s:='';
end;
//格式化输出
end;
FreeMem(lpBuffer,nSize);
CloseHandle(ProcessHndle);
//关闭句柄,释放内存
end
M
maddoc
Unregistered / Unconfirmed
GUEST, unregistred user!
可是,邮件槽好像没有readfile,大哥您是怎么做的
能不能详细点,兄弟多谢了
真是不好意思
能不能详细点,兄弟多谢了
真是不好意思
B
beta
Unregistered / Unconfirmed
GUEST, unregistred user!
邮件槽当然没有 readfile, readfile 是 windows 提供的 API,直接调用即可(uses windows)
但是邮件槽有 Handle 啊,把这个 Handle 传给 readfile 不就是读邮件槽了
但是邮件槽有 Handle 啊,把这个 Handle 传给 readfile 不就是读邮件槽了
M
maddoc
Unregistered / Unconfirmed
GUEST, unregistred user!
这个readfile怎么引用呀,能不能给个例子,多谢
B
beta
Unregistered / Unconfirmed
GUEST, unregistred user!
假设你的邮件槽的句柄是 hMailSlot, 接受数据的数组缓冲区为 Buffer
要从第 iStart 字节开始读 iCount 个字节,实际读的字节数放入 Count
var
ol: OVERLAPPED;
begin
ol.Offset := iStart;
ol.OffsetHigh := 0;
ReadFile(hMailSlot, Buffer, iCount, @Count, @ol);
...
end;
讲清楚了吧?
要从第 iStart 字节开始读 iCount 个字节,实际读的字节数放入 Count
var
ol: OVERLAPPED;
begin
ol.Offset := iStart;
ol.OffsetHigh := 0;
ReadFile(hMailSlot, Buffer, iCount, @Count, @ol);
...
end;
讲清楚了吧?
B
beta
Unregistered / Unconfirmed
GUEST, unregistred user!
再给你写详细一点吧,假设如下:
假设你的邮件槽的句柄是 hMailSlot, 接受数据的数组缓冲区为 Buffer
要从第 iStart 字节开始读 iCount 个字节,实际读的字节数放入 Count
const
Buffsize = 1024;
var
ol: OVERLAPPED;
iStart, iCount, Count: Integer;
Buffer: array [0..Buffsize - 1] of char;
begin
iStart := 3
//从第 3 字节开始读
iCount := 2
//读取 2 个字节
FillChar(Buffer, Buffsize, 0)
//清空缓冲区
ol.Offset := iStart;
ol.OffsetHigh := 0;
//hMailSlot 是你的邮件槽句柄
ReadFile(hMailSlot, Buffer, iCount, @Count, @ol)
//开始读取数据
ShowMessage(Format('实际读取了 %d 字节', [Count]));
//现在,你要的,读出来的数据已经在 Buffer 里面了,任凭处置。
...
end;
假设你的邮件槽的句柄是 hMailSlot, 接受数据的数组缓冲区为 Buffer
要从第 iStart 字节开始读 iCount 个字节,实际读的字节数放入 Count
const
Buffsize = 1024;
var
ol: OVERLAPPED;
iStart, iCount, Count: Integer;
Buffer: array [0..Buffsize - 1] of char;
begin
iStart := 3
//从第 3 字节开始读
iCount := 2
//读取 2 个字节
FillChar(Buffer, Buffsize, 0)
//清空缓冲区
ol.Offset := iStart;
ol.OffsetHigh := 0;
//hMailSlot 是你的邮件槽句柄
ReadFile(hMailSlot, Buffer, iCount, @Count, @ol)
//开始读取数据
ShowMessage(Format('实际读取了 %d 字节', [Count]));
//现在,你要的,读出来的数据已经在 Buffer 里面了,任凭处置。
...
end;
M
maddoc
Unregistered / Unconfirmed
GUEST, unregistred user!
接受答案了.
