WINAPI ReadProcessMemory 总是相同的地址

Question

我使用WINAPI函数ReadProcessMemory从一个进程（地址：0x58F03C）读取了一些数据：

DWORD proc_id;
GetWindowThreadProcessId(hwnd, &proc_id);
HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, proc_id);
int value=0;

while (1)
{
    ReadProcessMemory(hProcess, (LPVOID)0x58F03C, &value, sizeof(value), 0);
    cout << "val: " << value << endl;
}

由于每次重新启动进程时地址都会更改，我想知道是否有办法始终获得相同的地址？必须有一个，因为我看到很多能够做到这一点的“培训师计划”。他们如何获得正确的地址值来读取/写入？

目前我通过使用CheatEngine 扫描一个值来获取它，然后执行下一次扫描以查找更改的值。

谢谢。

Answer 1

您遇到了动态内存分配。在 CheatEngine 世界中，这些被称为“指针”。

考虑内存中的一些数据（例如uint32_t/DWORD），它是malloc'd。如果找到数据的地址，则无法保证下次启动进程时，地址会相同。这是因为malloc 返回的内存可能基于内存中的不同点。

用于阻止动态内存分配的技巧是找到一个静态堆地址，该地址可以引导您找到您感兴趣的值的地址。CheatEngine 教程向您展示了这是如何完成的。这同样适用于多级指针。在更高的层次上，这对应于动态分配的内存，其中包含指向其他一些动态分配的内存的指针，等等。

CheatEngine 中用于获取指针的方法大致如下：

• 在您感兴趣的数据值的地址处设置访问硬件断点
• 当代码访问它时，硬件断点会显示代码的样子

代码通常如下所示：

mov eax, 0x1234ABCD 
dec dword ptr ds:[eax+0x85]

这可能对应于一些代码，当你被敌人击中时会减少你的生命值。在这种情况下，0x1234ABCD 是指针，而 0x85 是偏移量。在 C 代码中，这可能会发生：

struct some_struct* blah = malloc(...);
...
blah->HP--;

0x1234ABCD 将是blah 的地址。 HP 值位于blah 指向的块内的某个位置。到内存块的偏移量是 0x85。然后，如果您正在编写一个训练器，您将读取 0x1234ABCD 处的 DWORD（QWORD，如果是 64 位）并将 0x85 添加到该值。这将为您提供 HP 值的地址。

Answer 2

如果地址位于预分配变量所在的数据部分的可执行文件部分中（不适用于堆和堆栈），这将起作用...

看看"Enumerating All Modules For a Process" example on MSDN。

它使用EnumProcessModules() 来获取模块句柄。这些是图像基地址。

您可以获取可执行文件的映像基地址并通过它调整您的地址。