关于内存操作中搜索 添加按模块名进行筛选搜索的功能

bxhckwf

  

子程序名	返回值类型	公开	备 注
搜索	整数型		某些情况，需提升权限(返回结果数目,失败返回0)
参数名	类 型	参考	可空	数组	备 注
进程ID	整数型				进程ID
搜索内容	字节集				欲搜索的内容  其他类型-需自行转换为字节集类型
模块名	文本型
结果数组	整数型				用来保存搜索的结果

变量名	类 型	静态	数组	备 注
长度	整数型
操作句柄	整数型
内存地址	整数型
内存块信息	精易_内存属性
数据缓冲区	字节集
读取结果	逻辑型
找到地址	整数型
是否模块搜索	逻辑型
模块信息	精易_模块信息		0
i	整数型
模块结束地址	整数型

清除数组 (结果数组)
长度 ＝ 取字节集长度 (搜索内容)
操作句柄 ＝ OpenProcess ( #PROCESS_ALL_ACCESS, 0, 进程ID)  ' 取得操作句柄
如果真 (取反 (是否为空 (模块名)))
是否模块搜索 ＝ 真
进程_ID取模块 (, 模块信息)
计次循环首 (取数组成员数 (模块信息), i)
如果真 (到小写 (到文本 (模块信息 [i].模块文件名)) ＝ 到小写 (模块名))
内存地址 ＝ 模块信息 [i].模块句柄
模块结束地址 ＝ 模块信息 [i].模块句柄 ＋ 模块信息 [i].大小
跳出循环 ()

计次循环尾 ()

判断循环首 (VirtualQueryEx (操作句柄, 内存地址, 内存块信息, 28) ≠ 0)  ' 取得内存块信息
如果真 (内存块信息.当前属性 ≠ 16 且 内存块信息.当前属性 ≠ 1 且 内存块信息.当前属性 ≠ 512)  ' 判断保护状态
数据缓冲区 ＝ 取空白字节集 (内存块信息.区域长度)
读取结果 ＝ ReadProcessMemory_字节集 (操作句柄, 内存地址, 数据缓冲区, 内存块信息.区域长度, 0)
判断循环首 (读取结果 ≠ 假)
找到地址 ＝ 寻找字节集 (数据缓冲区, 搜索内容, 找到地址)  ' 查找是否有要搜索的数据
如果 (找到地址 ＝ -1)  ' 跳出 进行下次循环
跳出循环 ()

加入成员 (结果数组, 到数值 (内存地址 ＋ 找到地址 － 1))
找到地址 ＝ 找到地址 ＋ 长度
判断循环尾 ()
内存地址 ＝ 内存地址 ＋ 内存块信息.区域长度  ' 搜索下一内存块
如果真 (是否模块搜索)
如果真 (内存地址 ＞ 模块结束地址)
跳出循环 ()


处理事件 ()
判断循环尾 ()
CloseHandle (操作句柄)
返回 (取数组成员数 (结果数组))

.版本 2<br /> <br /> .子程序 搜索, 整数型, 公开, 某些情况，需提升权限(返回结果数目,失败返回0)<br /> .参数 进程ID, 整数型, , 进程ID<br /> .参数 搜索内容, 字节集, , 欲搜索的内容  其他类型-需自行转换为字节集类型<br /> .参数 模块名, 文本型, 可空<br /> .参数 结果数组, 整数型, 参考 数组, 用来保存搜索的结果<br /> .局部变量 长度, 整数型<br /> .局部变量 操作句柄, 整数型<br /> .局部变量 内存地址, 整数型<br /> .局部变量 内存块信息, 精易_内存属性<br /> .局部变量 数据缓冲区, 字节集<br /> .局部变量 读取结果, 逻辑型<br /> .局部变量 找到地址, 整数型<br /> .局部变量 是否模块搜索, 逻辑型<br /> .局部变量 模块信息, 精易_模块信息, , "0"<br /> .局部变量 i, 整数型<br /> .局部变量 模块结束地址, 整数型<br /> <br /> 清除数组 (结果数组)<br /> 长度 ＝ 取字节集长度 (搜索内容)<br /> 操作句柄 ＝ OpenProcess (#PROCESS_ALL_ACCESS, 0, 进程ID)  ' 取得操作句柄<br /> .如果真 (取反 (是否为空 (模块名)))<br />     是否模块搜索 ＝ 真<br />     进程_ID取模块 (, 模块信息)<br />     .计次循环首 (取数组成员数 (模块信息), i)<br />         .如果真 (到小写 (到文本 (模块信息 <i>.模块文件名)) ＝ 到小写 (模块名))<br />             内存地址 ＝ 模块信息 <i>.模块句柄<br />             模块结束地址 ＝ 模块信息 <i>.模块句柄 ＋ 模块信息 <i>.大小<br /> <br />             跳出循环 ()<br />         .如果真结束<br /> <br />     .计次循环尾 ()<br /> <br /> <br /> <br /> .如果真结束<br /> <br /> .判断循环首 (VirtualQueryEx (操作句柄, 内存地址, 内存块信息, 28) ≠ 0)  ' 取得内存块信息<br />     .如果真 (内存块信息.当前属性 ≠ 16 且 内存块信息.当前属性 ≠ 1 且 内存块信息.当前属性 ≠ 512)  ' 判断保护状态<br />         数据缓冲区 ＝ 取空白字节集 (内存块信息.区域长度)<br />         读取结果 ＝ ReadProcessMemory_字节集 (操作句柄, 内存地址, 数据缓冲区, 内存块信息.区域长度, 0)<br />         .判断循环首 (读取结果 ≠ 假)<br />             找到地址 ＝ 寻找字节集 (数据缓冲区, 搜索内容, 找到地址)  ' 查找是否有要搜索的数据<br />             .如果 (找到地址 ＝ -1)  ' 跳出 进行下次循环<br />                 跳出循环 ()<br /> <br />             .否则<br />                 加入成员 (结果数组, 到数值 (内存地址 ＋ 找到地址 － 1))<br />             .如果结束<br />             找到地址 ＝ 找到地址 ＋ 长度<br />         .判断循环尾 ()<br />     .如果真结束<br />     内存地址 ＝ 内存地址 ＋ 内存块信息.区域长度  ' 搜索下一内存块<br />     .如果真 (是否模块搜索)<br />         .如果真 (内存地址 ＞ 模块结束地址)<br /> <br />             跳出循环 ()<br />         .如果真结束<br /> <br />     .如果真结束<br /> <br />     处理事件 ()<br /> .判断循环尾 ()<br /> CloseHandle (操作句柄)<br /> 返回 (取数组成员数 (结果数组))

萌菌团

https://bbs.125.la/forum.php?mod=viewthread&tid=13936841&page=1#pid15026023

zhaozhenyu12345

能搞个搜64位进程的吗

bxhckwf

1. .版本 2
   
2. 
   
3. .子程序 搜索, 整数型, 公开, 某些情况，需提升权限(返回结果数目,失败返回0)
   
4. .参数 进程ID, 整数型, , 进程ID
   
5. .参数 搜索内容, 字节集, , 欲搜索的内容  其他类型-需自行转换为字节集类型
   
6. .参数 模块名, 文本型, 可空
   
7. .参数 结果数组, 整数型, 参考 数组, 用来保存搜索的结果
   
8. .局部变量 长度, 整数型
   
9. .局部变量 操作句柄, 整数型
   
10. .局部变量 内存地址, 整数型
    
11. .局部变量 内存块信息, 精易_内存属性
    
12. .局部变量 数据缓冲区, 字节集
    
13. .局部变量 读取结果, 逻辑型
    
14. .局部变量 找到地址, 整数型
    
15. .局部变量 是否模块搜索, 逻辑型
    
16. .局部变量 模块信息, 精易_模块信息, , "0"
    
17. .局部变量 i, 整数型
    
18. .局部变量 模块结束地址, 整数型
    
19. 
    
20. 清除数组 (结果数组)
    
21. 长度 ＝ 取字节集长度 (搜索内容)
    
22. 操作句柄 ＝ OpenProcess (#PROCESS_ALL_ACCESS, 0, 进程ID)  ' 取得操作句柄
    
23. .如果真 (取反 (是否为空 (模块名)))
    
24.     是否模块搜索 ＝ 真
    
25.     进程_ID取模块 (进程ID, 模块信息)
    
26.     .计次循环首 (取数组成员数 (模块信息), i)
    
27.         .如果真 (到小写 (到文本 (模块信息 [i].模块文件名)) ＝ 到小写 (模块名))
    
28.             内存地址 ＝ 模块信息 [i].模块句柄
    
29.             模块结束地址 ＝ 模块信息 [i].模块句柄 ＋ 模块信息 [i].大小
    
30. 
    
31.             跳出循环 ()
    
32.         .如果真结束
    
33. 
    
34.     .计次循环尾 ()
    
35. 
    
36. 
    
37. 
    
38. .如果真结束
    
39. 
    
40. .判断循环首 (VirtualQueryEx (操作句柄, 内存地址, 内存块信息, 28) ≠ 0)  ' 取得内存块信息
    
41.     .如果真 (内存块信息.当前属性 ≠ 16 且 内存块信息.当前属性 ≠ 1 且 内存块信息.当前属性 ≠ 512)  ' 判断保护状态
    
42.         数据缓冲区 ＝ 取空白字节集 (内存块信息.区域长度)
    
43.         读取结果 ＝ ReadProcessMemory_字节集 (操作句柄, 内存地址, 数据缓冲区, 内存块信息.区域长度, 0)
    
44.         .判断循环首 (读取结果 ≠ 假)
    
45.             找到地址 ＝ 寻找字节集 (数据缓冲区, 搜索内容, 找到地址)  ' 查找是否有要搜索的数据
    
46.             .如果 (找到地址 ＝ -1)  ' 跳出 进行下次循环
    
47.                 跳出循环 ()
    
48. 
    
49.             .否则
    
50.                 加入成员 (结果数组, 到数值 (内存地址 ＋ 找到地址 － 1))
    
51.             .如果结束
    
52.             找到地址 ＝ 找到地址 ＋ 长度
    
53.         .判断循环尾 ()
    
54.     .如果真结束
    
55.     内存地址 ＝ 内存地址 ＋ 内存块信息.区域长度  ' 搜索下一内存块
    
56.     .如果真 (是否模块搜索)
    
57.         .如果真 (内存地址 ＞ 模块结束地址)
    
58. 
    
59.             跳出循环 ()
    
60.         .如果真结束
    
61. 
    
62.     .如果真结束
    
63. 
    
64.     处理事件 ()
    
65. .判断循环尾 ()
    
66. CloseHandle (操作句柄)
    
67. 返回 (取数组成员数 (结果数组))
    

复制代码

上面写错了 写成了取自进程的