读取其他进程内存时出错

Question

我正在使用 ReadProcessMemory 从我创建的进程中读取单个字节。 由于我作为调试器附加，我正在读取现在（或不久之前）正在执行的地址。

但我通过 GetLastError() 仅在某些地址上收到 ReadProcessMemory 的 299 错误（有些工作正常..）

在出现错误的情况下，我调用 VirtualQueryEx，memInfo 保护为 0x1，而 type 和 baseAddress 为 0x0（但区域大小是一些正常数字），VirtualQueryEx 也没有失败..

如果我为这些情况调用 VirtualProtectEx，我会收到错误 487（尝试访问无效地址）。

我想可能是我尝试读取的地址被分页了，因此出现了所有错误，但它似乎不对，因为正如我已经提到的，它是最近执行的地址。

有什么想法吗？

Answer 1

你想遍历所有内存，在调用 ReadProcessMemory() 之前调用 VirtualQueryEx() 来确保内存是有效的

在大多数情况下，您需要确保 MEMORY_BASIC_INFORMATION.State 为 MEM_COMMIT。

整个操作很容易搞砸，因为您没有提供任何代码，我将提供一个可以在 95% 的情况下工作的有效解决方案。 bytesRead 与 regionSize 不同是可以的，您只需要正确处理这种情况。在大多数情况下，您不需要使用 VirtualProtect 获取权限，因为所有有效内存都应该具有读取权限。

int main()
{
    DWORD procid = GetProcId("notepad.exe");

    unsigned char* addr = 0;

    HANDLE hProc = OpenProcess(PROCESS_ALL_ACCESS, FALSE, procid);

    MEMORY_BASIC_INFORMATION mbi;

    while (VirtualQueryEx(hProc, addr, &mbi, sizeof(mbi)))
    {
        if (mbi.State == MEM_COMMIT && mbi.Protect != PAGE_NOACCESS)
        {
            char* buffer = new char[mbi.RegionSize]{ 0 };
            SIZE_T bytesRead = 0;

            if (ReadProcessMemory(hProc, addr, buffer, mbi.RegionSize, &bytesRead))
            {
                if (bytesRead)
                {
                    //scan from buffer[0] to buffer[bytesRead]
                }
                else
                {
                    //scan from buffer[0] to buffer[mbi.RegionSize]
                }
            }

            delete[] buffer;
        }
        addr += mbi.RegionSize;
    }

    CloseHandle(hProc);
}

提醒：这只是一个 PoC 来教你这个概念。