64 位 ReadProcessMemory 访问被拒绝
64bit ReadProcessMemory access denied
我用 Process.EnterDebugMode() 试过 运行 这个方法,但还是不行。
想看Notepad-memory但是不知道怎么访问,或者是64位系统出问题了
这是我所做的:
using System;
using System.Diagnostics;
using System.Runtime.InteropServices;
using System.Text;
public class MemoryRead
{
[DllImport("kernel32.dll")]
static extern IntPtr OpenProcess(int dwDesiredAccess, bool bInheritHandle, int dwProcessId);
[DllImport("kernel32.dll")]
static extern bool ReadProcessMemory(int hProcess, Int64 lpBaseAddress, byte[] buffer, int size, ref int lpNumberOfBytesRead);
[DllImport("kernel32.dll")]
static extern bool CloseHandle(IntPtr hObject);
static void Main(string[] args)
{
var pid = 10956; //notepad.exe
var processHandle = OpenProcess(0x10, false, pid);
byte[] buffer = new byte[24];
int bytesRead = 0;
ReadProcessMemory((int)processHandle, 0x21106B35770, buffer, buffer.Length, ref bytesRead); //0x21106B35770 is the address where "hello world" is written in notepad
Console.WriteLine(Encoding.Unicode.GetString(buffer) +
" (" + bytesRead.ToString() + "bytes)");
Console.ReadLine();
CloseHandle(processHandle);
Console.ReadLine();
}
}
你的 ReadProcessMemory 的 PInvoke 声明不正确(虽然它应该在 32 位系统上工作)。
从这个函数的原生声明可以看出
BOOL WINAPI ReadProcessMemory(
_In_ HANDLE hProcess,
_In_ LPCVOID lpBaseAddress,
_Out_ LPVOID lpBuffer,
_In_ SIZE_T nSize,
_Out_ SIZE_T *lpNumberOfBytesRead
);
它的第一个参数是HANDLE,it is一个PVOID:
A pointer to any type.
This type is declared in WinNT.h as follows:
typedef void *PVOID;
并且指向 64 位进程中任何内容的指针都是 64 位值 - IntPtr。
size 和 lpNumberOfBytesRead 参数基本上相同 - 它们在 64 位进程中也是 64 位的。
因此你的声明应该是这样的:
[[DllImport("kernel32.dll", SetLastError = true)]]
[return: MarshalAs(UnmanagedType.Bool)]
static extern Boolean ReadProcessMemory(
[In] IntPtr hProcess,
[In] IntPtr lpBaseAddress,
[Out] Byte[] lpBuffer,
[In] UIntPtr nSize,
[Out] out UIntPtr lpNumberOfBytesRead
);
P.S.: 还有一点无耻的自我推销——如果你不得不经常使用 PInvoke,那么 我学得很辛苦。
我用 Process.EnterDebugMode() 试过 运行 这个方法,但还是不行。
想看Notepad-memory但是不知道怎么访问,或者是64位系统出问题了
这是我所做的:
using System;
using System.Diagnostics;
using System.Runtime.InteropServices;
using System.Text;
public class MemoryRead
{
[DllImport("kernel32.dll")]
static extern IntPtr OpenProcess(int dwDesiredAccess, bool bInheritHandle, int dwProcessId);
[DllImport("kernel32.dll")]
static extern bool ReadProcessMemory(int hProcess, Int64 lpBaseAddress, byte[] buffer, int size, ref int lpNumberOfBytesRead);
[DllImport("kernel32.dll")]
static extern bool CloseHandle(IntPtr hObject);
static void Main(string[] args)
{
var pid = 10956; //notepad.exe
var processHandle = OpenProcess(0x10, false, pid);
byte[] buffer = new byte[24];
int bytesRead = 0;
ReadProcessMemory((int)processHandle, 0x21106B35770, buffer, buffer.Length, ref bytesRead); //0x21106B35770 is the address where "hello world" is written in notepad
Console.WriteLine(Encoding.Unicode.GetString(buffer) +
" (" + bytesRead.ToString() + "bytes)");
Console.ReadLine();
CloseHandle(processHandle);
Console.ReadLine();
}
}
你的 ReadProcessMemory 的 PInvoke 声明不正确(虽然它应该在 32 位系统上工作)。
从这个函数的原生声明可以看出
BOOL WINAPI ReadProcessMemory(
_In_ HANDLE hProcess,
_In_ LPCVOID lpBaseAddress,
_Out_ LPVOID lpBuffer,
_In_ SIZE_T nSize,
_Out_ SIZE_T *lpNumberOfBytesRead
);
它的第一个参数是HANDLE,it is一个PVOID:
A pointer to any type.
This type is declared in WinNT.h as follows:
typedef void *PVOID;
并且指向 64 位进程中任何内容的指针都是 64 位值 - IntPtr。
size 和 lpNumberOfBytesRead 参数基本上相同 - 它们在 64 位进程中也是 64 位的。
因此你的声明应该是这样的:
[[DllImport("kernel32.dll", SetLastError = true)]]
[return: MarshalAs(UnmanagedType.Bool)]
static extern Boolean ReadProcessMemory(
[In] IntPtr hProcess,
[In] IntPtr lpBaseAddress,
[Out] Byte[] lpBuffer,
[In] UIntPtr nSize,
[Out] out UIntPtr lpNumberOfBytesRead
);
P.S.: 还有一点无耻的自我推销——如果你不得不经常使用 PInvoke,那么