Win32ASM-進程學習[3]-讀寫進程空間

 invoke ReadProcessMemory,hProcess,lpBaseAddress,lpBuffer,dwSize,lpNumberOfBytesReadinvoke WriteProcessMemory,hProcess,lpBaseAddress,lpBuffer,dwSize,lpNumberOfBytesWritten


hProcess 指定將要被讀寫的目標進程句柄

lpBaseAddress 目標進程中被讀寫的起始線性地址.

lpBuffer 用來接受數據的緩沖區

dwSize要讀取的字節數

lpNumberOfBytesRead 或 lpNumberOfBytesWritten 指向一個雙字變量,用來供函數返回實際讀寫的字節數,如果不關心讀寫結果,可以在這里使用NULL

?

如果函數執行成功則返回非0值,否則返回0

?

注意

(1)lpBaseAddress 和 lpBuffer參數指向的地址位于不同的進程空間內,lpBuffer指向的緩沖區位于自身進程地址空間中,lpBaseAddress指向的地址位于目標進程的地址空間內

(2)要對 目標進程的地址空間進行讀寫,必須具備PROCESS_VM_READ或PROCESS_VM_WRITE或PROCESS_VM_OPERATION

(3)lpBaseAddress位置開始的dwSize大小的內存必須可存取的,函數在執行前會對整個區域進行測試,如果中間有某處是不可存取的,(如沒有遞交到物理內存),那么函數直接返回失敗

,所以一般不會出現只讀寫了一部分內存的情況

(4)在ring3級下,自己進程中,代碼段是不可寫的,但使用WriteProcessMemory函數是 可以去寫目標進程的代碼段是允許的

也不是一定不能寫自己的代碼段,可以通過修改PE導入表中的屬性來達到自己可寫的目的

?

下面給出一個內存補丁的例子

.386
.model flat,stdcall
option casemap:noneinclude windows.incinclude kernel32.incinclude user32.incincludelib user32.libincludelib kernel32.lib
L MACRO var:VARARG        
local lbl
.constlbl db var,0
.codeexitm   <offset lbl>
ENDM
.code
start:xor eax,eax.if eaxinvoke MessageBox,NULL,L("您使用的是正版軟件"),L("Caption"),MB_OK.elseinvoke MessageBox,NULL,L("您所使用的是盜版軟件"),L("錯誤"),MB_OK.endifinvoke ExitProcess,NULL
end start

?

?可以通過OD等軟件來查看.if eax的語句的地址....


?

;--------------------------------------------------------------------------------
;程序環境設置
.386
.model flat,stdcall
option casemap:none
;--------------------------------------------------------------------------------
;頭文件與庫文件導入
include windows.inc
include kernel32.inc
include user32.incincludelib kernel32.lib
includelib user32.lib
;--------------------------------------------------------------------------------
;函數定義
;--------------------------------------------------------------------------------
;等值替換定義
PATCH_POSITION equ 00401014h
;--------------------------------------------------------------------------------
;宏定義
L macro var:VARARGLOCAL @lbl.const@lbl db var,0.codeexitm <offset @lbl>
endm
;--------------------------------------------------------------------------------
;包含文件
;--------------------------------------------------------------------------------
;已初始化數據段
.data
;--------------------------------------------------------------------------------
;未初始化數據段
.data?
dwOldBytes db 2 dup(?)
stStartUp  STARTUPINFO  <?>
stProcessInfo PROCESS_INFORMATION <?>
;--------------------------------------------------------------------------------
;常量段
.const
dbPatched db 90h,90h
dbPatch  db 74h,15h
;--------------------------------------------------------------------------------
;代碼段
.code
start:invoke GetStartupInfo,addr stStartUpinvoke CreateProcess,L("Test.exe"),NULL,NULL,NULL,NULL,NORMAL_PRIORITY_CLASS or CREATE_SUSPENDED,0,0,offset stStartUp,offset stProcessInfo.if eaxinvoke ReadProcessMemory,stProcessInfo.hProcess,PATCH_POSITION,addr dwOldBytes,2,NULL.if eaxmov ax,word ptr dwOldBytes.if ax == word ptr dbPatchinvoke WriteProcessMemory,stProcessInfo.hProcess,PATCH_POSITION,addr dbPatched,2,NULLinvoke ResumeThread,stProcessInfo.hThread.elseinvoke TerminateProcess,stProcessInfo.hProcess,-1invoke MessageBox,NULL,L("可執行文件版本不正確"),NULL,MB_OK or MB_ICONSTOP.endif.endifinvoke CloseHandle,stProcessInfo.hProcessinvoke CloseHandle,stProcessInfo.hThread.elseinvoke MessageBox,NULL,L("無法加載執行文件 或 可執行文件沒有找到"),NULL,MB_OK or MB_ICONSTOP.endifinvoke ExitProcess,NULL;--------------------------------------------------------------------------------
end start  ;函數入口地址


本文來自互聯網用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。
如若轉載,請注明出處:http://www.pswp.cn/news/375316.shtml
繁體地址,請注明出處:http://hk.pswp.cn/news/375316.shtml
英文地址,請注明出處:http://en.pswp.cn/news/375316.shtml

如若內容造成侵權/違法違規/事實不符,請聯系多彩編程網進行投訴反饋email:809451989@qq.com,一經查實,立即刪除!

相關文章

MongoDB使用記錄

MongoDB使用記錄

安裝服務 使用以下命令將MongoDB安裝成為Windows服務。筆者的MongoDB目錄為D:\Program Files\mongodb mongod --logpath "D:\Program Files\mongodb\data\logs.txt" --logappend --dbpath "D:\Program Files\mongodb\data" --directoryperdb --serviceName…
閱讀更多...
OC基礎知識

OC基礎知識

Object C 語言基礎 第一節總括 這一節是對Objective-C(以后簡稱OC)的簡要介紹,目的是使讀者對OC有一個概括的認識。 1.面象的讀者 在閱讀本文之前,應具備使用與C類似的編程語言(如C,C,JAVA)的一些經驗,同時熟悉面向對象編程。 2.OC簡介 OC是以SmallTalk為基礎&#xff0c;建立…
閱讀更多...
Windows使用篩選器來處理異常

Windows使用篩選器來處理異常

很久木有管博客了 最近也沒有學什么 Dos系統下發生異常后,系統會調用int 24h服務例程,然后根據中斷的返回值決定下一步要做什么,他會在屏幕上顯示ignore Retry Fail Abort 讓用戶選擇進而進行下一步操作 這樣的話 只要應用程序截取int 24h中斷,就可以隨意的"胡作非…
閱讀更多...
Android 高級編程 RecyclerView 控件的使用

Android 高級編程 RecyclerView 控件的使用

RecyclerView 是Android 新添加的一個用來取代ListView的控件&#xff0c;它的靈活性與可替代性比listview更好。 看一下繼承關系&#xff1a; ava.lang.Object ?android.view.View ?android.view.ViewGroup ?android.support.v7.widget.RecyclerViewKnown Direct …
閱讀更多...
Android下點亮LED

Android下點亮LED

http://blog.csdn.net/cpj_phone/article/details/43562551轉載于:https://www.cnblogs.com/Ph-one/p/4276974.html
閱讀更多...
SEH處理異常

SEH處理異常

Win32為每個線程定義了一個線程信息塊,其中保存了線程的一些屬性數據,線程信息塊的屬性被定義為NT_TIB結構 typedef struct _NT_TIB { struct _EXCEPTION_REGISTRATION_RECORD *ExceptionList; PVOID StackBase; PVOID StackLimit; PVOID SubSystemTib; union { PVOID FiberDa…
閱讀更多...
Asp.net MVC 4新項目中創建area的后續操作

Asp.net MVC 4新項目中創建area的后續操作

Asp.net MVC 4新項目中創建area后&#xff0c;往往HomeController與area的HomeController路由發生混淆&#xff0c;需要手工設置一些地方避免mvc無法識別默認路由的狀況。 無廢話具體步驟&#xff1a; 1. 檢查早Global.asax和\App_Start\RouteConfig.cs中是否已經自動添加了Are…
閱讀更多...
55-混沌操作法之我見:一、逆勢操作.(2015.2.7)

55-混沌操作法之我見:一、逆勢操作.(2015.2.7)

混沌操作法之我見&#xff1a;一、逆勢操作 首先談談&#xff0c;均線以及鱷魚線。單獨的市場價格表達了t時刻價格的個體情況&#xff0c;均線表達了一段時間內價格的綜合情況。t時刻的價格與均線的比較&#xff0c;表達了考慮了過去以及當前綜合價格的比較情況&#xff0c;即t…
閱讀更多...
SEH鏈和展開操作

SEH鏈和展開操作

每次我們定義了一個新的SEH異常處理回調函數,EXCEPTION_REGISTRATION結構的prev字段都被要求填寫上一個EXCEPTION_REGISTRATION結構的地址,隨著應用程序對模塊的調用一層層深入下去的時候,那么最后回調函數會形成一個SEH鏈 當程序中有多個線程在運行的時候,每個線程中都會存在各…
閱讀更多...
spring的基本知識

spring的基本知識

首先是回顧一下spring的基本知識 1、controller 控制器&#xff08;注入服務&#xff09; 2、service 服務&#xff08;注入dao&#xff09; 3、repository dao&#xff08;實現dao訪問&#xff09; 4、component &#xff08;把普通pojo實例化到spring容器中&#xff0c;相當于…
閱讀更多...
vs2010 EF4.0 訪問mysql

vs2010 EF4.0 訪問mysql

需要安裝mysql-connector-net-6.3.5 6.8.9的安裝完后在dbfirst里找不到對應的提供程序 鏈接字符串里需要 指定下編碼(如果不是gbk的話) <add name"sourceEntities" connectionString"metadatares://*/Model1.csdl|res://*/Model1.ssdl|res://*/Model1.msl;pr…
閱讀更多...
Win32ASM 變長參數的理解

Win32ASM 變長參數的理解

C語言里面 提供了一些宏 可以使用變長參數 int MsgPrintf(INT dwszBuffer,TCHAR* szCaption,TCHAR* szFormat,...){LPVOID lpszBuffer;va_list pArgList;va_start(pArgList,szFormat);lpszBuffer HeapAlloc(GetProcessHeap(),HEAP_ZERO_MEMORY,100);_vsntprintf((LPTSTR)lpsz…
閱讀更多...
jquery判斷一個div的邊界是否超出另外一個div的邊界

jquery判斷一個div的邊界是否超出另外一個div的邊界

摘要&#xff1a;本文簡單介紹jquery判斷一個div的邊界是否超出另外一個div的邊界&#xff0c;如果超出邊界做出相應的處理。 1、實現效果 判斷前 判斷后 2、實現思路 實現類似的判斷&#xff0c;主要是獲取兩個div在瀏覽器中的上下左右的四至&#xff0c;在jquery中&#xff0…
閱讀更多...
Gson解析Json格式數據

Gson解析Json格式數據

//數據定義&#xff1a;class User{ String name; String password; String getName(){}void setName(){}}Gson gsonnew Gson(); ////解析一條json數據&#xff1a;令str為[{"name":"21001","password":"21001"}] User usernew User()…
閱讀更多...
進程的細節

進程的細節

從今天開始,重新學習一些細節性質的東西 一.在VS開發環境中,應用程序的入口點: _tWinMain WinMainCRTStartup _tWinMain wWinMainCRTStartup _tmain mainCRTStartup _tmain wmainCRTStartup 相關的介…
閱讀更多...
maven環境快速搭建(轉)

maven環境快速搭建(轉)

最近&#xff0c;開發中要用到maven&#xff0c;所以對maven進行了簡單的學習。因為有個maven高手在身邊&#xff0c;所以&#xff0c;很快就上手了&#xff0c;我這里算是自我總結吧。關于maven是什么東東&#xff0c;請參考其它文章。 ----------------準備工作-------------…
閱讀更多...
cocos2d-x3.0 相對布局(一)

cocos2d-x3.0 相對布局(一)

2dx相對布局和Android非常類似。假設前完成Android它應該是easy入門。Size widgetSize Director::getInstance()->getWinSize();Text* alert Text::create("Layout", "fonts/Marker Felt.ttf", 30 );alert->setColor(Color3B(159, 168, 176));aler…
閱讀更多...
管理員以標準權限運行時

管理員以標準權限運行時

在XP時代,大多數用戶都用一個管理員(administrator)帳號來登錄Windows 利用這個賬戶,用戶幾乎能沒有任何限制的訪問重要的系統資源,因為該賬戶被授予了很高的權限,一旦用這個帳號登錄了xp以及xp之前的操作系統,Windows操作系統就會創建一個安全令牌(security token).每當有代碼…
閱讀更多...
HDU 4791 amp; ZOJ 3726 Alice#39;s Print Service (數學 打表)

HDU 4791 amp; ZOJ 3726 Alice#39;s Print Service (數學 打表)

題目鏈接&#xff1a; HDU:http://acm.hdu.edu.cn/showproblem.php?pid4791 ZJU:http://acm.zju.edu.cn/onlinejudge/showProblem.do?problemId5072 Problem DescriptionAlice is providing print service, while the pricing doesnt seem to be reasonable, so people using…
閱讀更多...
奪命雷公狗---ECSHOP---08---商品頁的拇改成星星

奪命雷公狗---ECSHOP---08---商品頁的拇改成星星

<strong>用戶評價&#xff1a;</strong>{*---------商品評價星星開始----------*}<img src"./images/stars{$goods.comment_rank}.gif" alt"comment rank {$goods.comment_rank}">{*---------商品評價星星結束-------*} 這里主要是要有星…
閱讀更多...
最新文章

Copyright @ 2022~2023