现在的位置: 首页 > 综合 > 正文

搜索内存数据(-)

2014年02月04日 ⁄ 综合 ⁄ 共 3563字 ⁄ 字号 评论关闭
  1. Private Type MEMORY_BASIC_INFORMATION
  3.     BaseAddress As Long
  5.     AllocationBase As Long
  7.     AllocationProtect As Long
  9.     RegionSize As Long
  11.     State As Long
  13.     Protect As Long
  15.     lType As Long
  17. End Type
  19. Private Declare Function OpenProcess Lib "kernel32" (ByVal dwDesiredAccess As LongByVal bInheritHandle As LongByVal dwProcessId As LongAs Long
  21. Private Declare Function CloseHandle Lib "kernel32" (ByVal hObject As LongAs Long
  23. Private Declare Sub api_CopyMemory Lib "kernel32" Alias "RtlMoveMemory" (Destination As Any, Source As Any, ByVal Length As Long)
  25. Private Declare Function WriteProcessMemory Lib "kernel32" (ByVal hProcess As Long, lpBaseAddress As Any, lpBuffer As Any, ByVal nSize As Long, lpNumberOfBytesWritten As LongAs Long
  27. Private Declare Function ReadProcessMemory Lib "kernel32" (ByVal hProcess As Long, lpBaseAddress As Any, lpBuffer As Any, ByVal nSize As Long, lpNumberOfBytesWritten As LongAs Long
  29. Private Declare Function GetModuleHandle Lib "kernel32" Alias "GetModuleHandleA" (ByVal lpModuleName As StringAs Long
  31. Private Declare Function VirtualProtectEx Lib "kernel32" (ByVal hProcess As Long, lpAddress As Any, ByVal dwSize As LongByVal flNewProtect As Long, lpflOldProtect As LongAs Long
  33. Private Declare Function VirtualQueryEx Lib "kernel32" (ByVal hProcess As LongByVal lpAddress As Long, lpBuffer As MEMORY_BASIC_INFORMATION, ByVal dwLength As LongAs Long
  35. Private Declare Function CreateRemoteThread Lib "kernel32" (ByVal hProcess As LongByVal lpThreadAttributes As LongByVal dwStackSize As LongByVal lpStartAddress As LongByVal lpParameter As LongByVal dwCreationFlags As Long, lpThreadId As LongAs Long
  37. Private Declare Function WaitForSingleObject Lib "kernel32" (ByVal hHandle As LongByVal dwMilliseconds As LongAs Long
  39. Private Const PROCESS_ALL_ACCESS = 
  40. Private Const PAGE_READWRITE = 
  41. Private Const MEM_COMMIT = 
  42. Private Const ERR_MEMRW = 40010
  43. Private c_MemStop As Boolean
  44. Private c_PID As Long
  45. Private Function Mem_SearchBytArray(bytData() As Byte, ListAddress() As LongOptional lpStart As Long = &H400000, Optional lpEnd As Long = &H7FFFFFFF) As Long
  47. '16bit  from &H80000000 to &HBFFFFFFF   2byte
  49. '32bit  from &H00400000 to &H7FFFFFFF   4byte
  51. 'all    from &H00000000 to &HFFFFFFFF
  53.     Dim nCount As Long
  54.     Dim bfSize As Long
  55.     Dim mbSize As Long
  56.     Dim mbloop As Long
  57.     Dim bfloop As Long
  58.     Dim ret As Long
  59.     Dim lpAddress As Long
  60.     Dim hProcess As Long
  61.     Dim MBI As MEMORY_BASIC_INFORMATION
  62.     Dim lpBuffer() As Byte
  63.     c_MemStop = False
  64.     mbSize = Len(MBI)
  65.     bfSize = UBound(bytData)
  66.     lpAddress = lpStart
  67.     hProcess = OpenProcess(PROCESS_ALL_ACCESS, False, c_PID)
  68.     ret = VirtualQueryEx(hProcess, lpAddress, MBI, mbSize)
  69.     Do While (ret And (lpAddress < lpEnd) And Not c_MemStop)
  70.         If (MBI.Protect And PAGE_READWRITE) And (MBI.State = MEM_COMMIT) Then
  71.             ReDim lpBuffer(MBI.RegionSize - 1)
  72.             ReadProcessMemory hProcess, ByVal MBI.BaseAddress, lpBuffer(0), MBI.RegionSize, 0
  73.             For mbloop = 0 To MBI.RegionSize - 1 - bfSize
  74.                 For bfloop = 0 To bfSize
  75.                     If bytData(bfloop) <> lpBuffer(mbloop + bfloop) Then GoTo runSearchNext
  76.                 Next
  77.                 ReDim Preserve ListAddress(nCount) As Long
  78.                 ListAddress(nCount) = mbloop + MBI.BaseAddress
  79.                 nCount = nCount + 1
  80. runSearchNext:
  81.             Next
  82.         End If
  83.         lpAddress = lpAddress + MBI.RegionSize
  84.         ret = VirtualQueryEx(hProcess, lpAddress, MBI, mbSize)
  85.     Loop
  86.     Mem_SearchBytArray = nCount
  87.     Call CloseHandle(hProcess)
  88. End Function
返回
【上篇】
【下篇】

作者:

抱歉!评论已关闭.

返回首页

Copyright © 2013-2018 学步园  保留所有权利.
软文销售 QQ客服:2265327166 点击这里给我发消息(其他合作也可洽谈)
必威体育
必威电竞