Чтение данных из памяти

Есть некая программа. Как мне прочитать строку из памяти по определенному фиксированному смещению в этой программе. Пожалуйста наставьте на путь истинный, никаких идей нет. Если такая тема была хоть ссылку дайте.

PS поиском пользовался, но он как-то вяло отреагировал на мою формулировку, все не то

 

ReadProcessMemory

 

HANDLE hProcess, // handle of the process whose memory is read - PID
LPCVOID lpBaseAddress, // address to start reading - это мое смещение
LPVOID lpBuffer, // address of buffer to place read data - буфер для приема
DWORD nSize, // number of bytes to read - количество байт для копирования
LPDWORD lpNumberOfBytesRead // address of number of bytes read - можно проигнорировать

Я все правильно понял?

 

Нет. Первый параметр - хэндл процесса. Используй PID в OpenProcess - и получишь хендл. Второй параметр - адрес в том процессе, из которого читаешь. Последний параметр - не уверен, что можно игнорировать. Почитай примечания к ф-ии.

 

>> Последний параметр - не уверен, что можно игнорировать
можно

 

lpNumberOfBytesRead Можно игнорировать-это адресс переменной куда запишится количество считанных байт.

 

Я снял дамп с процесса. Нужное мне значение по адресу 0024067С, его и передавать вторым параметром?

 

[deleted]

 

НЕТ! Твой процесс начинается тока с 400 000h Наверное тебе надо прибавить базу образа. Если это exe, то 400 000h - стандартно. Народ, я ж правильно говорю? А вообще есть программы типа LordPE, которые помогают перевести OFFSET, RVA и VA друг в друга. Тебе нужен VA

 

Легче всего взять дебаггер и посмотреть адресс нужных данных

 

А заодно и сами данные - и никаких ReadProcessMemory'ев

P.S.: Классный у тебя девиз (ну или подпись) - чего тока не прочитаешь на этом форуме Надо бы и себе чего-нибудь придумать

 

АЙАЙАЙ, ничего не понимаю. Так что же передать вторым параметром?

Я так понял это указатель, но на что?

 

Второй параметр - это указатель на память в другом процессе, откуда ты начинаешь читать эту самую память. Так вот, 0024067С - это видимо смещение относительно базы образа!!! Т.е. относительно начала файла в памяти. В процессе твои данные будут находится по адресу (400000h + 0024067Сh), т.к. твой файл в памяти будет начинаться именно с адреса 400000h. Т.е. в качестве переметра передай 64067Сh.

Просто понимаешь, может быть такая загвоздка: если ты просто тупо сдампил кусок памяти, то твое 0024067С - это RVA. Если ты сдампил все по правилам (т.е. все секции и т.д.), то 0024067С - это может быть OFFSET. А тебе нужен VA.

Короче, попробуй ввести 64067Сh. Если не поможет, будем думать над ньюансами.

 

Так, мужики, хватит людей пугать.

OpenProcess
VirtualProtectEx

 

Хек, при чем тут VirtualProtectEx. Это только в дополнение к ReadProcessMemory да и то, скорее всего, хотя бы доступ на чтение на страницу есть.

 

файл не обязательно загружаецо с 0х400000, хотя в большинстве случаев это действительно так. зависит от imagebase, который можно посмотреть в заголовке.

 

Все правильно, действительно надо было передавать 64067Сh. код работает.
Всем спасибо!

Творческих успехов!

 

В продолжение темы....
Каким образом можно считать данные с файла, промэппированного в память?
Я пытался выделить память alloc'om и скопировать в буфер нужную часть файла (секцию .text) для дальнейшей работы, но чёт не работает... В буфер пишется мусор

 

steelfactor
Не в тему, создавай новую.