ReadProcessMemory 读取进程内存中的所有 0

Question

我正在尝试编写一个进程内存扫描程序来扫描内存中的非零值：

MEMORY_BASIC_INFORMATION mbi;
char* addr = 0;
dtype readVal = 0;
while (VirtualQueryEx(hProc, addr, &mbi, sizeof(mbi))) {  // HANDLE hProc is defined earlier
  if (mbi.State == MEM_COMMIT && mbi.Protect != PAGE_NOACCESS) {
        for (int i = 0; i < mbi.RegionSize; i += sizeof(readVal)) {
            BOOL ret = ReadProcessMemory(hProc, (char*) mbi.BaseAddress + i, &readVal, sizeof(readVal), 0);
            printf("ReadProcessMemory returns %d\n", ret); // returns 5 (ERROR_ACCESS_DENIED)
            if (readVal != 0) {
                printf("Found a good value!");
                system("pause");
            }
        }
    }
    addr += mbi.RegionSize;
}

我在chrome.exe 上尝试过，扫描仪发现了大量非零值。但是当我在带有反作弊功能的游戏进程上尝试它时，它无法工作，ReadProcessMemory 在每次调用ReadProcessMemory 时都会返回ERROR_ACCESS_DENIED。句柄hProc 连接到游戏进程没有问题，并且找到了正确的 PID。为什么会这样？我们如何增加绕过反作弊的特权？

Answer 1

根据这个thread，你需要enumerate all modules for a process来获取你感兴趣的模块的有效句柄。然后你可以像这样使用ReadProcessMemory以管理员身份运行来读取多级指针：

#include <iostream>
#include <Windows.h>
#include <TlHelp32.h>
#include <tchar.h>

using namespace std;

DWORD_PTR dwGetModuleBaseAddress(DWORD dwProcID, TCHAR *szModuleName);
    
int main()
{
    HWND hwnd = FindWindowA(NULL, "Game");
    if (hwnd == NULL)
    {
        cout << "Cannot find window." << endl;
        Sleep(3000);
        exit(-1);
    }
    else
    {
        DWORD procID;
        GetWindowThreadProcessId(hwnd, &procID);
        HANDLE handle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, procID);
        DWORD_PTR ModuleBaseAddress = 0;
        ModuleBaseAddress = dwGetModuleBaseAddress(procID, _T("Game.exe"));

        if (procID == NULL)
        {
            cout << "Cannot find process.";
            Sleep(3000);
            exit(-1);
        }
        else {
            while (true)
            {
                DWORD temp;
                ReadProcessMemory(handle, (LPCVOID)(ModuleBaseAddress + 0x43021C), &temp, sizeof(temp), NULL);
                ReadProcessMemory(handle, (LPCVOID)(temp + 0xAC), &temp, sizeof(temp), NULL);
                int curhp;
                ReadProcessMemory(handle, (LPCVOID)(temp + 0x4C), &curhp, sizeof(curhp), NULL);
                cout << "Current HP: "  << curhp << endl;
                Sleep(100);
                system("CLS");
            }
        }
    }
    system("PAUSE");
}

DWORD_PTR dwGetModuleBaseAddress(DWORD dwProcID, TCHAR *szModuleName)
{
    DWORD_PTR dwModuleBaseAddress = 0;
    HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE | TH32CS_SNAPMODULE32, dwProcID);
    if (hSnapshot != INVALID_HANDLE_VALUE)
    {
        MODULEENTRY32 ModuleEntry32;
        ModuleEntry32.dwSize = sizeof(MODULEENTRY32);
        if (Module32First(hSnapshot, &ModuleEntry32))
        {
            do
            {
                if (_tcsicmp(ModuleEntry32.szModule, szModuleName) == 0)
                {
                    dwModuleBaseAddress = (DWORD_PTR)ModuleEntry32.modBaseAddr;
                    break;
                }
            } while (Module32Next(hSnapshot, &ModuleEntry32));
        }
        CloseHandle(hSnapshot);
    }
    return dwModuleBaseAddress;
}

更多详情，您可以上网查询。

Answer 2

您的代码的精简版本大致执行以下操作：

dtype readVal;
if (readVal != 0) {
    printf("Found a good value!");
    system("pause");
}

有一个（可能）未初始化的值 (readVal)，一些代码的代码路径不会改变该值，然后是读取访问权限。这样做没有指定的行为。因此，它的行为被暗示为未定义。

要修复您的代码，您需要进行两项更改：

• readVal 需要初始化，并在最里面的循环中重置。虽然不知道readVal 是什么数据类型，但不可能知道它是否已初始化。这留作练习。
• ReadProcessMemory 可能会失败。它通过返回FALSE 来报告失败。您需要检查故障，如果您需要扩展错误信息，还可以选择致电GetLastError。

---

为什么会这样？我们如何绕过反作弊？

我们不知道，因为您决定对重要信息保密（例如目标的具体名称和版本）。绕过软件保护被设计为很困难。在二进制开发中度过十年，您可能准备好想出一个方法。 Stack Overflow 无法为您提供帮助。