VirtualQueryEx命令怎么获取内存地址中的模块？

幸福长久

  大家好！ 像CE内存查看输入地址即可知道该地址位于在那个模块中，不是要取模块句柄哦，是判断该一个内存地址位于在那个模块里，动态地址则无模块,求教

ANormalUser

NtQueryVirtualMemory暴力枚举内存和Dll信息，但是x64
https://bbs.125.la/forum.php?mod=viewthread&tid=14739138
(出处: 精易论坛)

幸福长久

VirtualQueryEx  CE前面4个状态都能获取，唯独后面这个所在模块好像不能获取没有该参数？？

幸福长久

ANormalUser 发表于 2024-5-14 16:19
NtQueryVirtualMemory暴力枚举内存和Dll信息，但是x64
https://bbs.125.la/forum.php?mod=viewthread&tid=1 ...

这个也不是我想要的啊。。。

wtflxk

如果仅仅是为了取模块名的话  用 VirtualQuery啊 这玩意可以取 不过是需要编译后才行

幸福长久

幸福长久 发表于 2024-5-14 16:24
这个也不是我想要的啊。。。

我用其他方法实现目的了，不过还是谢谢捏了

幸福长久

wtflxk 发表于 2024-5-14 16:51
如果仅仅是为了取模块名的话  用 VirtualQuery啊 这玩意可以取 不过是需要编译后才行 ...

这个API一样的而且不能跨进程，我用其他办法实现目的了，谢谢回复！

福仔

这个能获取到内存的起始地址, 如果指定内存是模块中的地址, 那么可以获取到模块的地址, 得到模块的地址就可以通过读取pe获取模块的各种信息
模块句柄其实就是这个模块装载到这个进程上的地址, 就是模块地址

风行无忌

  

DLL命令名	返回值类型	公开	备 注
GetCurrentProcessId	整数型
DLL库文件名:
kernel32.dll
在DLL库中对应命令名:
GetCurrentProcessId
参数名	类 型	传址	数组	备 注

DLL命令名	返回值类型	公开	备 注
CreateToolhelp32Snapshot	整数型
DLL库文件名:
kernel32.dll
在DLL库中对应命令名:
CreateToolhelp32Snapshot
参数名	类 型	传址	数组	备 注
dwFlags	整数型
th32ProcessID	整数型

DLL命令名	返回值类型	公开	备 注
Module32First_i	逻辑型
DLL库文件名:
kernel32.dll
在DLL库中对应命令名:
Module32First
参数名	类 型	传址	数组	备 注
hSnapshot	整数型
lpme	整数型

DLL命令名	返回值类型	公开	备 注
Module32Next_i	逻辑型
DLL库文件名:
kernel32.dll
在DLL库中对应命令名:
Module32Next
参数名	类 型	传址	数组	备 注
hSnapshot	整数型
lpme	整数型

DLL命令名	返回值类型	公开	备 注
CloseHandle	逻辑型
DLL库文件名:
kernel32.dll
在DLL库中对应命令名:
CloseHandle
参数名	类 型	传址	数组	备 注
hObject	整数型

DLL命令名	返回值类型	公开	备 注
GetModuleHandleA	整数型
DLL库文件名:
kernel32.dll
在DLL库中对应命令名:
GetModuleHandleA
参数名	类 型	传址	数组	备 注
lpModuleName	文本型

子程序名	返回值类型	公开	备 注
子程序1

调试输出 (取内存地址模块 (GetModuleHandleA (“ntdll.dll”)))

子程序名	返回值类型	公开	备 注
指针到整数_ASM	整数型
参数名	类 型	参考	可空	数组	备 注
指针	整数型
偏移	整数型

置入代码 ({ 139, 69, 8, 3, 69, 12, 139, 0, 93, 194, 8, 0 })
返回 (0)

子程序名	返回值类型	公开	备 注
写内存整数_ASM
参数名	类 型	参考	可空	数组	备 注
指针	整数型
偏移	整数型
值	整数型

置入代码 ({ 139, 69, 8, 3, 69, 12, 139, 85, 16, 137, 16, 201, 194, 12, 0 })

子程序名	返回值类型	公开	备 注
取内存地址模块	文本型		失败返回""
参数名	类 型	参考	可空	数组	备 注
内存地址	整数型

变量名	类 型	静态	数组	备 注
快照句柄	整数型
LPMODULEENTRY32	整数型
模块jz	整数型
模块末址	整数型
找到	逻辑型
模块名	文本型

快照句柄 ＝ CreateToolhelp32Snapshot (8, GetCurrentProcessId ())
如果真 (快照句柄 ≠ 0)
' dwSize        0
' th32ModuleID  4
' th32ProcessID 8
' GlblcntUsage  12
' ProccntUsage  16
' modBaseAddr   20
' modBaseSize   24
' hModule       28
' szModule      32
' szExePath     288
LPMODULEENTRY32 ＝ 申请内存 (548, 真)
如果真 (LPMODULEENTRY32 ≠ 0)
写内存整数_ASM (LPMODULEENTRY32, 0, 548)
如果真 (Module32First_i (快照句柄, LPMODULEENTRY32))
循环判断首 ()
模块jz ＝ 指针到整数_ASM (LPMODULEENTRY32, 20)
模块末址 ＝ 模块jz ＋ 指针到整数_ASM (LPMODULEENTRY32, 24)
如果真 (内存地址 ≥ 模块jz 且 内存地址 ≤ 模块末址)
模块名 ＝ 指针到文本 (LPMODULEENTRY32 ＋ 32)
' 模块路径 ＝ 指针到文本 (LPMODULEENTRY32 ＋ 288)
跳出循环 ()

循环判断尾 (Module32Next_i (快照句柄, LPMODULEENTRY32))

释放内存 (LPMODULEENTRY32)

CloseHandle (快照句柄)

返回 (模块名)

i支持库列表	支持库注释
spec	特殊功能支持库

.版本 2<br /> <br /> .DLL命令 GetCurrentProcessId, 整数型, "kernel32.dll", "GetCurrentProcessId"<br /> <br /> .DLL命令 CreateToolhelp32Snapshot, 整数型, "kernel32.dll", "CreateToolhelp32Snapshot"<br />     .参数 dwFlags, 整数型<br />     .参数 th32ProcessID, 整数型<br /> <br /> .DLL命令 Module32First_i, 逻辑型, "kernel32.dll", "Module32First"<br />     .参数 hSnapshot, 整数型<br />     .参数 lpme, 整数型<br /> <br /> .DLL命令 Module32Next_i, 逻辑型, "kernel32.dll", "Module32Next"<br />     .参数 hSnapshot, 整数型<br />     .参数 lpme, 整数型<br /> <br /> .DLL命令 CloseHandle, 逻辑型, "kernel32.dll", "CloseHandle"<br />     .参数 hObject, 整数型<br /> <br /> .DLL命令 GetModuleHandleA, 整数型, "kernel32.dll", "GetModuleHandleA"<br />     .参数 lpModuleName, 文本型<br /> <br /> .版本 2<br /> .支持库 spec<br /> <br /> .子程序 子程序1<br /> <br /> 调试输出 (取内存地址模块 (GetModuleHandleA (“ntdll.dll”)))<br /> <br /> <br /> .子程序 指针到整数_ASM, 整数型<br /> .参数 指针, 整数型<br /> .参数 偏移, 整数型<br /> <br /> 置入代码 ({ 139, 69, 8, 3, 69, 12, 139, 0, 93, 194, 8, 0 })<br /> 返回 (0)<br /> <br /> .子程序 写内存整数_ASM<br /> .参数 指针, 整数型<br /> .参数 偏移, 整数型<br /> .参数 值, 整数型<br /> <br /> 置入代码 ({ 139, 69, 8, 3, 69, 12, 139, 85, 16, 137, 16, 201, 194, 12, 0 })<br /> <br /> .子程序 取内存地址模块, 文本型, , 失败返回""<br /> .参数 内存地址, 整数型<br /> .局部变量 快照句柄, 整数型<br /> .局部变量 LPMODULEENTRY32, 整数型<br /> .局部变量 模块jz, 整数型<br /> .局部变量 模块末址, 整数型<br /> .局部变量 找到, 逻辑型<br /> .局部变量 模块名, 文本型<br /> <br /> 快照句柄 ＝ CreateToolhelp32Snapshot (8, GetCurrentProcessId ())<br /> .如果真 (快照句柄 ≠ 0)<br />     ' dwSize        0<br />     ' th32ModuleID  4<br />     ' th32ProcessID 8<br />     ' GlblcntUsage  12<br />     ' ProccntUsage  16<br />     ' modBaseAddr   20<br />     ' modBaseSize   24<br />     ' hModule       28<br />     ' szModule      32<br />     ' szExePath     288<br />     LPMODULEENTRY32 ＝ 申请内存 (548, 真)<br />     .如果真 (LPMODULEENTRY32 ≠ 0)<br />         写内存整数_ASM (LPMODULEENTRY32, 0, 548)<br /> <br />         .如果真 (Module32First_i (快照句柄, LPMODULEENTRY32))<br />             .循环判断首 ()<br />                 模块jz ＝ 指针到整数_ASM (LPMODULEENTRY32, 20)<br />                 模块末址 ＝ 模块jz ＋ 指针到整数_ASM (LPMODULEENTRY32, 24)<br />                 .如果真 (内存地址 ≥ 模块jz 且 内存地址 ≤ 模块末址)<br />                     模块名 ＝ 指针到文本 (LPMODULEENTRY32 ＋ 32)<br />                     ' 模块路径 ＝ 指针到文本 (LPMODULEENTRY32 ＋ 288)<br />                     跳出循环 ()<br />                 .如果真结束<br /> <br />             .循环判断尾 (Module32Next_i (快照句柄, LPMODULEENTRY32))<br />         .如果真结束<br /> <br />         释放内存 (LPMODULEENTRY32)<br />     .如果真结束<br /> <br />     CloseHandle (快照句柄)<br /> .如果真结束<br /> <br /> 返回 (模块名)

补充内容 (2024-5-14 19:42):
如果真 (内存地址 ≥ 模块jz 且 内存地址 ＜ 模块末址) 这一句要改下，不然会多判断了一个字节

幸福长久

福仔 发表于 2024-5-14 18:28
这个能获取到内存的起始地址, 如果指定内存是模块中的地址, 那么可以获取到模块的地址, 得到模块的地址就可 ...

VirtualQueryEx 64位进程调用不了这个API咋办？