如何检测或者判断目标进程中的内存地址是否有效？

e688

如何检测或者判断目标进程中的内存地址是否有效？
例如：“程序A”要判断“程序B”中的某个内存地址是否有效。也就是跨进程判断内存地址是否有效

帅气与大侠

进程句柄 = OpenProcess()'打开目标进程

返回值=VirtualQueryEx（进程句柄，内存地址，相关结构，结构大小）
返回值为零表示失败，进程句柄无效，内存地址无效等。
否则通过 相关结构可以得到该内存的相关信息
可以看下微软的API文档，有详细说明
https://learn.microsoft.com/zh-c ... redirectedfrom=MSDN

qinfeng0214

  

子程序名	返回值类型	公开	备 注
内存地址是否有效	逻辑型
参数名	类 型	参考	可空	数组	备 注
进程ID	整数型
内存地址	整数型

变量名	类 型	静态	数组	备 注
进程句柄	整数型
测试缓冲区	字节集
实际读取长度	整数型

进程句柄 ＝ OpenProcess ( #PROCESS_VM_READ, 假, 进程ID)
如果真 (进程句柄 ＝ 0)
调试输出 ("打开进程失败，错误代码：", GetLastError ())
返回 假

测试缓冲区 ＝ 取空白字节集 (1)
是否有效 ＝ ReadProcessMemory (进程句柄, 内存地址, 测试缓冲区, 1, 实际读取长度)
CloseHandle (进程句柄)
返回 是否有效
' API声明

DLL命令名	返回值类型	公开	备 注
OpenProcess	整数型
DLL库文件名:
kernel32.dll
在DLL库中对应命令名:
OpenProcess
参数名	类 型	传址	数组	备 注
dwDesiredAccess	整数型
bInheritHandle	逻辑型
dwProcessId	整数型

DLL命令名	返回值类型	公开	备 注
ReadProcessMemory	逻辑型
DLL库文件名:
kernel32.dll
在DLL库中对应命令名:
ReadProcessMemory
参数名	类 型	传址	数组	备 注
hProcess	整数型
lpBaseAddress	整数型
lpBuffer	字节集
nSize	整数型
lpNumberOfBytesRead	整数型

DLL命令名	返回值类型	公开	备 注
CloseHandle	逻辑型
DLL库文件名:
kernel32.dll
在DLL库中对应命令名:
CloseHandle
参数名	类 型	传址	数组	备 注
hObject	整数型

i支持库列表	支持库注释
spec	特殊功能支持库
kernel32	(未知支持库)

.版本 2<br /> .支持库 spec<br /> .支持库 kernel32<br /> <br /> .子程序 内存地址是否有效, 逻辑型<br /> .参数 进程ID, 整数型<br /> .参数 内存地址, 整数型<br /> .局部变量 进程句柄, 整数型<br /> .局部变量 测试缓冲区, 字节集<br /> .局部变量 实际读取长度, 整数型<br /> <br /> 进程句柄 ＝ OpenProcess(#PROCESS_VM_READ, 假, 进程ID)<br /> .如果真 (进程句柄 ＝ 0)<br />     调试输出("打开进程失败，错误代码：", GetLastError())<br />     返回 假<br /> .如果真结束<br /> <br /> 测试缓冲区 ＝ 取空白字节集(1)<br /> 是否有效 ＝ ReadProcessMemory(进程句柄, 内存地址, 测试缓冲区, 1, 实际读取长度)<br /> CloseHandle(进程句柄)<br /> <br /> 返回 是否有效<br /> <br /> ' API声明<br /> .DLL命令 OpenProcess, 整数型, "kernel32.dll", "OpenProcess"<br />     .参数 dwDesiredAccess, 整数型<br />     .参数 bInheritHandle, 逻辑型<br />     .参数 dwProcessId, 整数型<br /> <br /> .DLL命令 ReadProcessMemory, 逻辑型, "kernel32.dll", "ReadProcessMemory"<br />     .参数 hProcess, 整数型<br />     .参数 lpBaseAddress, 整数型<br />     .参数 lpBuffer, 字节集<br />     .参数 nSize, 整数型<br />     .参数 lpNumberOfBytesRead, 整数型, 传址<br /> <br /> .DLL命令 CloseHandle, 逻辑型, "kernel32.dll", "CloseHandle"<br />     .参数 hObject, 整数型

xizhihan

  

DLL命令名	返回值类型	公开	备 注
OpenProcess	整数型
DLL库文件名:
kernel32.dll
在DLL库中对应命令名:
OpenProcess
参数名	类 型	传址	数组	备 注
dwDesiredAccess	整数型
bInheritHandle	逻辑型
dwProcessId	整数型

DLL命令名	返回值类型	公开	备 注
VirtualQueryEx	整数型
DLL库文件名:
kernel32.dll
在DLL库中对应命令名:
VirtualQueryEx
参数名	类 型	传址	数组	备 注
hProcess	整数型
lpAddress	整数型
lpBuffer	内存基本信息
dwLength	整数型

DLL命令名	返回值类型	公开	备 注
CloseHandle	逻辑型
DLL库文件名:
kernel32.dll
在DLL库中对应命令名:
CloseHandle
参数名	类 型	传址	数组	备 注
hObject	整数型

数据类型名	公开	备 注
内存基本信息
成员名	类 型	传址	数组	备 注
BaseAddress	整数型
AllocationBase	整数型
AllocationProtect	整数型
RegionSize	整数型
State	整数型
Protect	整数型
Type	整数型

常量名称	常量值	公 开	备 注
PROCESS_QUERY_INFORMATION
MEM_COMMIT
PAGE_READWRITE

子程序名	返回值类型	公开	备 注
内存地址是否有效	逻辑型
参数名	类 型	参考	可空	数组	备 注
目标进程ID	整数型
内存地址	整数型

变量名	类 型	静态	数组	备 注
hProcess	整数型
mbi	内存基本信息
结果	整数型

hProcess ＝ OpenProcess (PROCESS_QUERY_INFORMATION, 假, 目标进程ID)
如果真 (hProcess ＝ 0)
返回 (假)  ' 打开进程失败

结果 ＝ VirtualQueryEx (hProcess, 内存地址, mbi, 28)  ' 结构体大小28字节
CloseHandle (hProcess)
返回 (结果 ≠ 0 且 mbi.State ＝ MEM_COMMIT 且 位与 (mbi.Protect, PAGE_READWRITE) ≠ 0)

.版本 2<br /> <br /> .DLL命令 OpenProcess, 整数型, "kernel32.dll", "OpenProcess"<br />     .参数 dwDesiredAccess, 整数型<br />     .参数 bInheritHandle, 逻辑型<br />     .参数 dwProcessId, 整数型<br /> <br /> .DLL命令 VirtualQueryEx, 整数型, "kernel32.dll", "VirtualQueryEx"<br />     .参数 hProcess, 整数型<br />     .参数 lpAddress, 整数型<br />     .参数 lpBuffer, 内存基本信息, 传址<br />     .参数 dwLength, 整数型<br /> <br /> .DLL命令 CloseHandle, 逻辑型, "kernel32.dll", "CloseHandle"<br />     .参数 hObject, 整数型<br /> <br /> .数据类型 内存基本信息<br />     .成员 BaseAddress, 整数型<br />     .成员 AllocationBase, 整数型<br />     .成员 AllocationProtect, 整数型<br />     .成员 RegionSize, 整数型<br />     .成员 State, 整数型<br />     .成员 Protect, 整数型<br />     .成员 Type, 整数型<br /> <br /> .常量 PROCESS_QUERY_INFORMATION, 0x0400<br /> .常量 MEM_COMMIT, 0x1000<br /> .常量 PAGE_READWRITE, 0x04<br /> <br /> .子程序 内存地址是否有效, 逻辑型<br /> .参数 目标进程ID, 整数型<br /> .参数 内存地址, 整数型<br /> .局部变量 hProcess, 整数型<br /> .局部变量 mbi, 内存基本信息<br /> .局部变量 结果, 整数型<br /> <br /> hProcess ＝ OpenProcess(PROCESS_QUERY_INFORMATION, 假, 目标进程ID)<br /> .如果真 (hProcess ＝ 0)<br />     返回 (假)  ' 打开进程失败<br /> .如果真结束<br /> <br /> 结果 ＝ VirtualQueryEx(hProcess, 内存地址, mbi, 28)  ' 结构体大小28字节<br /> <br /> CloseHandle(hProcess)<br /> <br /> 返回 (结果 ≠ 0 且 mbi.State ＝ MEM_COMMIT 且 位与(mbi.Protect, PAGE_READWRITE) ≠ 0)

  

子程序名	返回值类型	公开	备 注
获取内存详细信息	文本型
参数名	类 型	参考	可空	数组	备 注
目标进程ID	整数型
内存地址	整数型

变量名	类 型	静态	数组	备 注
hProcess	整数型
mbi	内存基本信息
结果	整数型

hProcess ＝ OpenProcess (PROCESS_QUERY_INFORMATION, 假, 目标进程ID)
如果真 (hProcess ＝ 0)
返回 ("打开进程失败")

结果 ＝ VirtualQueryEx (hProcess, 内存地址, mbi, 28)
CloseHandle (hProcess)
如果真 (结果 ＝ 0)
返回 ("地址无效")

返回 ("起始地址：" + 到文本 (mbi.BaseAddress) + #换行符 +
"区域大小：" + 到文本 (mbi.RegionSize) + " 字节" + #换行符 +
"内存状态：" + 选择 (mbi.State ＝ 0x1000, "已提交", "保留/空闲") + #换行符 +
"保护属性：" + 取保护属性描述 (mbi.Protect))

.子程序 获取内存详细信息, 文本型<br /> .参数 目标进程ID, 整数型<br /> .参数 内存地址, 整数型<br /> .局部变量 hProcess, 整数型<br /> .局部变量 mbi, 内存基本信息<br /> .局部变量 结果, 整数型<br /> <br /> hProcess ＝ OpenProcess(PROCESS_QUERY_INFORMATION, 假, 目标进程ID)<br /> .如果真 (hProcess ＝ 0)<br />     返回 ("打开进程失败")<br /> .如果真结束<br /> <br /> 结果 ＝ VirtualQueryEx(hProcess, 内存地址, mbi, 28)<br /> CloseHandle(hProcess)<br /> <br /> .如果真 (结果 ＝ 0)<br />     返回 ("地址无效")<br /> .如果真结束<br /> <br /> 返回 ("起始地址：" + 到文本(mbi.BaseAddress) + #换行符 +<br />       "区域大小：" + 到文本(mbi.RegionSize) + " 字节" + #换行符 +<br />       "内存状态：" + 选择(mbi.State ＝ 0x1000, "已提交", "保留/空闲") + #换行符 +<br />       "保护属性：" + 取保护属性描述(mbi.Protect))

  

子程序名	返回值类型	公开	备 注
取保护属性描述	文本型
参数名	类 型	参考	可空	数组	备 注
Protect	整数型

变量名	类 型	静态	数组	备 注
结果	文本型

判断 (位与 (Protect, 0x01) ≠ 0)
结果 ＝ "PAGE_NOACCESS"
判断 (位与 (Protect, 0x02) ≠ 0)
结果 ＝ "PAGE_READONLY"
判断 (位与 (Protect, 0x04) ≠ 0)
结果 ＝ "PAGE_READWRITE"
判断 (位与 (Protect, 0x08) ≠ 0)
结果 ＝ "PAGE_WRITECOPY"
判断 (位与 (Protect, 0x10) ≠ 0)
结果 ＝ "PAGE_EXECUTE"
判断 (位与 (Protect, 0x20) ≠ 0)
结果 ＝ "PAGE_EXECUTE_READ"
判断 (位与 (Protect, 0x40) ≠ 0)
结果 ＝ "PAGE_EXECUTE_READWRITE"
结果 ＝ "未知属性"

返回 (结果 + " (0x" + 取十六进制文本 (Protect) + ")")

.子程序 取保护属性描述, 文本型<br /> .参数 Protect, 整数型<br /> .局部变量 结果, 文本型<br /> <br /> .判断开始 (位与(Protect, 0x01) ≠ 0)<br />     结果 ＝ "PAGE_NOACCESS"<br /> .判断 (位与(Protect, 0x02) ≠ 0)<br />     结果 ＝ "PAGE_READONLY"<br /> .判断 (位与(Protect, 0x04) ≠ 0)<br />     结果 ＝ "PAGE_READWRITE"<br /> .判断 (位与(Protect, 0x08) ≠ 0)<br />     结果 ＝ "PAGE_WRITECOPY"<br /> .判断 (位与(Protect, 0x10) ≠ 0)<br />     结果 ＝ "PAGE_EXECUTE"<br /> .判断 (位与(Protect, 0x20) ≠ 0)<br />     结果 ＝ "PAGE_EXECUTE_READ"<br /> .判断 (位与(Protect, 0x40) ≠ 0)<br />     结果 ＝ "PAGE_EXECUTE_READWRITE"<br /> .默认<br />     结果 ＝ "未知属性"<br /> .判断结束<br /> <br /> 返回 (结果 + " (0x" + 取十六进制文本(Protect) + ")")

补充内容 (2025-4-9 19:39):
三个常亮分别是0x0400,0x1000,0x04