WINAPI ReadProcessMemory始终相同的地址

Question

我从一个进程中读取一些数据（地址:0x58F03C）通过使用WINAPI函数 ReadProcessMemory:

DWORD proc_id;
GetWindowThreadProcessId(hwnd, &proc_id);
HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, proc_id);
int value=0;

while (1)
{
    ReadProcessMemory(hProcess, (LPVOID)0x58F03C, &value, sizeof(value), 0);
    cout << "val: " << value << endl;
}

由于每次重新启动进程时地址都会更改，我想知道是否有办法始终获得相同的地址？必须有一个，因为我看到很多"培训师计划"能够做到这一点。他们如何获得正确的地址值来读取/写入？

目前，我通过扫描一个值来获得它 CheatEngine 并对改变的值执行下一次扫描。

谢谢.

Answer 1

您遇到动态内存分配。在CheatEngine世界中，这些被称为"指针"。

考虑一些数据（例如a uint32_t/DWORD)在记忆中 malloc'd．如果您找到了数据的地址，则无法保证下次启动该进程时，该地址将是相同的。这是因为返回的内存 malloc 可以基于内存中的不同点。

用于击败动态内存分配的技巧是找到一个静态堆地址，它可以将您引导到您感兴趣的值的地址。CheatEngine教程向您展示了这是如何完成的。这同样适用于多级指针。在更高层次上，这对应于动态分配的内存，其保存指向一些其他动态分配的内存的指针，等等。

CheatEngine中用于获取指针的方法大致如下所示:

• 在您感兴趣的数据值的地址设置访问硬件断点
• 当代码访问它时，硬件断点将向您显示代码的样子

代码通常如下所示:

mov eax, 0x1234ABCD 
dec dword ptr ds:[eax+0x85]

这可能对应于一些代码，当被敌人击中时会降低你的HP。在这种情况下，0x1234abcd是指针，0x85是偏移量。在C代码中，这可能发生了:

struct some_struct* blah = malloc(...);
...
blah->HP--;

0x1234abcd将是 blah.HP值位于由 blah.入存储块的偏移量为0x85。然后，如果你正在写一个培训师，你会阅读 DWORD (QWORD 如果64位）在0x1234ABCD和添加0x85的值。这会给你HP值的地址。

Answer 2

如果地址位于预分配变量所在的数据部分的可执行文件部分（不适用于堆和堆栈），这将起作用。..

看看 MSDN上的"枚举进程的所有模块"示例.

它使用 EnumProcessModules() 获取模块句柄。那些是图像基地址。

您可以获取可执行文件的映像基址，并通过它调整您的地址。