程序如何通过ReadProcessMemory从内存中读取自己的图像?

时间:2018-03-14 16:42:51

标签: c++ winapi

我正在尝试使用windows的 ReadProcessMemory api创建一个可以从内存中读取的可执行文件。

然后,我将使用它来计算可执行文件的校验和。

这是我的代码:

#define PSAPI_VERSION 1
#include <string>
#include <windows.h>
#include <tchar.h>
#include <stdio.h>
#include <psapi.h>
#include <Wincrypt.h>

#define BUFSIZE 1024
#define MD5LEN  16

// To ensure correct resolution of symbols, add Psapi.lib to TARGETLIBS
#pragma comment(lib, "psapi.lib")


int main(void)
{

    HWND hMyProcess = (HWND)(GetCurrentProcess());
    HMODULE hModule = (HMODULE)GetModuleHandle(NULL);
    TCHAR szProcessName[MAX_PATH] = TEXT("<unknown>");
    MODULEINFO moduleInfo;
    if(hModule != NULL && hMyProcess != NULL){
        // if (GetModuleInformation())
        GetModuleBaseName(hMyProcess, hModule, szProcessName, MAX_PATH);
        printf("%s\n", szProcessName);
        if (GetModuleInformation(hMyProcess, hModule, &moduleInfo, sizeof(moduleInfo))){
            printf("lpBaseOfDLL : %x\n", moduleInfo.lpBaseOfDll);
            printf("Entry Point : %x\n", moduleInfo.EntryPoint);
            printf("SizeOfImage : %x\n", moduleInfo.SizeOfImage);
        }
    }
    // Till here working fine, problem lies below

    // read process memory
    TCHAR *hexEXE;
    SIZE_T *lpNumberOfBytesRead;
    if(ReadProcessMemory(hMyProcess, moduleInfo.lpBaseOfDll,
        hexEXE, moduleInfo.SizeOfImage, 0)){
        //printf("%s\n", hexEXE);
        printf("Read memory\n");
        printf("%d \n",strlen(hexEXE));
    }

    // will be implemented later, taken from --> https://msdn.microsoft.com/en-us/library/aa382380(VS.85).aspx
    DWORD dwStatus = 0;
    BOOL bResult = FALSE;
    HCRYPTPROV hProv = 0;
    HCRYPTHASH hHash = 0;

    /*if (!CryptAcquireContext(&hProv,NULL,NULL,PROV_RSA_FULL,CRYPT_VERIFYCONTEXT)){
        dwStatus = GetLastError();
        printf("CryptAcquireContext failed: %d\n", dwStatus);
        //CloseHandle(hFile);
        return dwStatus;
    }

    if (!CryptCreateHash(hProv, CALG_MD5, 0, 0, &hHash)){
        dwStatus = GetLastError();
        printf("CryptAcquireContext failed: %d\n", dwStatus);
        //CloseHandle(hFile);
        CryptReleaseContext(hProv, 0);
        return dwStatus;
    }*/



    return 0;
}

问题:

我无法读取自己进程的内存,这是我第一次使用 WinAPI ,所以也许我会以某种错误的方式使用该函数。

程序刚挂起,显示“Windows遇到了一些问题......”

错误的可能原因:

我认为我之前获得的流程句柄( hMyProcess )不具备所需的权限( PROCESS_VM_READ ),如何验证它以及是否那不是我如何获得正确的权限。

1 个答案:

答案 0 :(得分:-3)

很抱歉扩展讨论,但我通过更改代码而不是使用 ReadProcessMemory 通过 for循环直接迭代内存来运行它:< / p> 

 long *baseAddress = (long *)moduleInfo.lpBaseOfDll;
    printf("%d %x\n",baseAddress, baseAddress);
    for (int i = 0; i < moduleInfo.SizeOfImage; ++i){
        long *addressToRead = baseAddress+i;
        printf("%x : %x\n", addressToRead, *addressToRead);
    }

这是输出:

http://localhost:2201/dash-board/(named-outlet:page1)

进一步的想法

但是,我不明白为什么我无法使用 ReadProcessMemory 来获取它。

相关问题
最新问题