Go中调用kernel32的ReadProcessMemory

Calling kernel32's ReadProcessMemory in Go

我正在尝试使用 Go 语言在 Windows 上操作进程, 我开始使用 ReadProcessMemory.

读取其他进程的内存

但是,对于大多数地址,我收到 Error: Only part of a ReadProcessMemory or WriteProcessMemory request was completed. 错误。也许我的参数列表是错误的,但我找不到原因。

谁能指出我做错了什么?

package main

import (
  "fmt"
)

import (
  windows "golang.org/x/sys/windows"
)

func main() {
  handle, _ := windows.OpenProcess(0x0010, false, 6100) // 0x0010 PROCESS_VM_READ, PID 6100
  procReadProcessMemory := windows.MustLoadDLL("kernel32.dll").MustFindProc("ReadProcessMemory")

  var data uint   = 0
  var length uint = 0

  for i := 0; i < 0xffffffff; i += 2 {
    fmt.Printf("0x%x\n", i)

    // BOOL ReadProcessMemory(HANDLE hProcess, LPCVOID lpBaseAddress, LPVOID lpBuffer, DWORD nSize, LPDWORD lpNumberOfBytesRead)
    ret, _, e := procReadProcessMemory.Call(uintptr(handle), uintptr(i), uintptr(data), 2, uintptr(length)) // read 2 bytes
    if (ret == 0) {
        fmt.Println("  Error:", e)          
    } else {
        fmt.Println("  Length:", length)
        fmt.Println("  Data:", data)                        
    }
  }

  windows.CloseHandle(handle)
}

uintptr(data) 是不正确的:它从 datauint 类型的 0)中获取值并将其转换为 unitptr 类型——产生相同的值转换为另一种类型 — 在 x86 上生成空指针。

请注意,Go 不是 C 语言,您不能真正玩带有指针的肮脏游戏,或者更确切地说,您可以,但只能通过使用 unsafe 内置包及其 Pointer 类型,类似于 C 中的 void*(指向数据存储块中的某处)

你需要的是

import "unsafe"

var (
    data   [2]byte
    length uint32
)
ret, _, e := procReadProcessMemory.Call(uintptr(handle), uintptr(i),
    uintptr(unsafe.Pointer(&data[0])),
    2, uintptr(unsafe.Pointer(&length))) // read 2 bytes

观察这里做了什么:

  1. 声明了一个"array of two bytes"类型的变量;
  2. 取这个数组第一个元素的地址;
  3. 该地址类型转换为类型 unsafe.Pointer;
  4. 然后将获得的值类型转换为uintptr

需要最后两个步骤,因为 Go 具有垃圾收集功能:

  • 在 Go 中,当你在内存中获取一个值的地址并将其存储在一个变量中时,GC 知道这个 "implicit" 指针并且该地址被获取的值不会被垃圾收集即使它变得不可访问,该值保持其地址是唯一留下的参考。
  • 即使您使该地址值丢失其维护的类型信息 — 通过将其类型转换为 unsafe.Pointer,GC 仍会考虑新值,其行为类似于包含地址的 "normal" 值— 如上所述。
  • 通过将此类值类型转换为 uintptr,您可以让 GC 停止将其视为指针。因此,此类型仅适用于 FFI/interop.

    换句话说,在

    var data [2]byte
    a := &data[0]
    p := unsafe.Pointer(a)
    i := uintptr(p)
    

    只有三个对 data 中的值的引用:该变量本身,ap,而不是 i.

您在处理调用外部代码时应该考虑这些规则,因为您永远不应该传递 unitptr 类型的值:它们仅用于将数据编组到被调用函数并将其解编回,并且要使用 "on the spot" — 在与它们被类型转换的值相同的范围内 from/to.

另外请注意,在 Go 中,您不能只获取整数类型变量的地址并将该地址提供给需要指向适当大小的内存块的指针的函数。您必须处理字节数组,并且在被调用函数写入数据后,您需要将其显式转换为所需类型的值。这就是为什么 Go 中没有 "type casts" 而只有 "type conversions" 的原因:你不能通过类型转换 重新解释 值的数据类型, uintptr(unsafe.Pointer)(和返回)是 FFI/interop 的显着例外,即使在这种情况下,您基本上将指针转换为指针,只需通过 GC 边界传输它即可。

对于 "serialize" 和 "deserialize" 整数类型的值,您可以使用 encoding/binary 标准包或手动简单的简单函数,这些函数可以进行位移和 or-s 等等 ;-)


2015-10-05,根据James Henstridge的建议更新。

注意函数returns和ret发出信号后没有错误 您必须检查 length 变量的值。