C#/ WinAPI - 监视内存区域

时间:2013-05-12 02:24:42

标签: c# .net winapi memory-management native-code

我想知道是否有办法监控特殊内存区域的变化。我正在使用以下方法来打开进程并获取其已用内存区域的集合:

internal static MemoryProcess OpenProcess(Process process)
{
    IntPtr processHandle = OpenProcess(ProcessAccess.Desided, true, (UInt32)process.Id);

    if (processHandle == IntPtr.Zero)
        return null;

    IntPtr processAddress = new IntPtr();
    List<MemoryRegion> memoryRegions = new List<MemoryRegion>();

    while (true)
    {
        MemoryBasicInformation info = new MemoryBasicInformation();

        if (VirtualQueryEx(processHandle, processAddress, out info, MemoryBasicInformation.Size) == 0)
            break;

        if (info.Allocation.HasFlag(MemoryAllocation.Commit) && info.Type.HasFlag(MemoryType.Private) && ((info.Protection & MemoryProtection.Readable) != 0) && ((info.Protection & MemoryProtection.Protected) == 0))
            memoryRegions.Add(new MemoryRegion(info.BaseAddress, info.RegionSize));

        processAddress = new IntPtr(info.BaseAddress.ToInt64() + info.RegionSize.ToInt64());
    }

    if (memoryRegions.Count == 0)
    {
        CloseHandle(processHandle);
        return null;
    }

    return (new MemoryProcess(processHandle, memoryRegions));
}

我看到很多应用程序正在这样做。 Cheat Engine就是其中之一。假设我打开了一个Google Chrome标签流程,我会在其内存中搜索并找到一个特定值(字符串“stackoverflow”):

enter image description here

现在,我使用该标签浏览另一个完全不同的网站,我看到这些地址值发生了变化:

enter image description here

最后一步:我关闭了Chrome标签,删除了相应的进程:

enter image description here

所以...当然必须对内存区域进行一种监控。事实上,有:

enter image description here

使用Process.Exited事件不足以实现内存地址值的实时更新我认为......所以,我该怎么做?

1 个答案:

答案 0 :(得分:1)

如果您可以拦截目标应用程序中调用的VirtualAlloc,并将MEM_WRITE_WATCH与原始标志组合,系统将跟踪此分配的内存区域,然后您可以调用GetWriteWatch函数检索自已分配区域或已重置写入跟踪状态以来已写入的页面的地址。这看起来很多工作要做。

相关问题
最新问题