函数功能:该函数从指定的进程中读入内存信息,被读取的区域必须具有访问权限。
函数原型:BOOL ReadProcessMemory(HANDLE hProcess,LPCVOID lpBaseAddress,LPVOID lpBuffer,DWORD nSize,LPDWORD lpNumberOfBytesRead);
参数:
hProcess:进程句柄
lpBaseAddress:读出数据的地址
lpBuffer:存放读取数据的地址
nSize:读出的数据大小
lpNumberOfBytesRead:数据的实际大小
C#中使用该函数首先导入命名空间: using System.Runtime.InteropServices;
然后写API引用部分的代码,放入 class 内部 [DllImport(“kernel32.dll “)] static extern bool ReadProcessMemory(int hProcess, int lpBaseAddress,out int lpBuffer, int nSize, out int lpNumberOfBytesRead);
这个函数有五个参数,第一个参数是 进程句柄,由OpenProcess函数获取;第二个参数是要读出数据的地址,使用CE等辅助工具可取得;第三个参数是用于存放读取数据的地址;第四个参数是 要读出的数据大小;第五个参数是读出数据的实际大小。例如: IntPtr hwnd = FindWindow(null, “计算器”); const int PROCESS_ALL_ACCESS = 0x1F0FFF; const int PROCESS_VM_READ = 0x0010; const int PROCESS_VM_WRITE = 0x0020; if (hwnd != IntPtr.Zero) { int calcID; int calcProcess; int dataAddress; int readByte; GetWindowThreadProcessId(hwnd, out calcID); calcProcess = OpenProcess(PROCESS_VM_READ | PROCESS_VM_WRITE, false, calcID); //假设地址0X0047C9D4存在信息 ReadProcessMemory(calcProcess, 0X0047C9D4, out dataAddress, 4, out readByte); MessageBox.Show(dataAddress.ToString()); } else { MessageBox.Show(“没有找到窗口”); }
如果我们读取的一段内存中的数据,我们引入部分可修改成如下:
//二维数组 [DllImport(“kernel32.dll “)] static extern bool ReadProcessMemory(int hProcess, int lpBaseAddress, byte[,] lpBuffer, int nSize, out int lpNumberOfBytesRead); //一维数组 [DllImport(“kernel32.dll “)] static extern bool ReadProcessMemory(int hProcess, int lpBaseAddress, byte[] lpBuffer, int nSize, out int lpNumberOfBytesRead);
由于数组是引用传递,我们不需要写out关键字。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/185866.html原文链接:https://javaforall.cn