我最近开始了一个新的c ++ win32控制台项目。 它基本上重写了内存中给定地址的值。
关键是,我希望它使用带偏移的指针映射来重新计算它应该使用的地址。 Here是Cheat Engine中指针映射的图像。
正如我所说,如果我只输入地址,我会设法重写该值(本例中为1147),但我希望它是自动的! 希望你能理解我的问题
度过愉快的一天。
答案 0 :(得分:1)
要在内存中获取模块(DLL或EXE)的基址,可以使用ToolHelp32Snapshot Windows API函数枚举已加载的模块。 Microsoft提供了文档化的源代码来查找模块。基本上你需要2个函数,一个用于获取ProcessId,然后一个用于获取基址。
bool GetPid(const wchar_t* targetProcess, DWORD* procID)
{
HANDLE snap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if (snap && snap != INVALID_HANDLE_VALUE)
{
PROCESSENTRY32 pe;
pe.dwSize = sizeof(pe);
if (Process32First(snap, &pe))
{
do
{
if (!wcscmp(pe.szExeFile, targetProcess))
{
CloseHandle(snap);
*procID = pe.th32ProcessID;
return true;
}
} while (Process32Next(snap, &pe));
}
}
return false;
}
char* GetModuleBase(const wchar_t* ModuleName, DWORD procID)
{
MODULEENTRY32 ModuleEntry = { 0 };
HANDLE SnapShot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE | TH32CS_SNAPMODULE32, procID);
if (!SnapShot) return NULL;
ModuleEntry.dwSize = sizeof(ModuleEntry);
if (!Module32First(SnapShot, &ModuleEntry)) return NULL;
do
{
if (!wcscmp(ModuleEntry.szModule, ModuleName))
{
CloseHandle(SnapShot);
return (char*)ModuleEntry.modBaseAddr;
}
} while (Module32Next(SnapShot, &ModuleEntry));
CloseHandle(SnapShot);
return NULL;
}
然后你做:
DWORD ProcId;
GetPid(L"ac_client.exe", &ProcId);
char* ExeBaseAddress = GetModuleBase(L"ac_client.exe", ProcId);
如果您已在内部黑客中注入流程,则可以使用GetModuleHandle,因为在发布时,返回的句柄只是模块的地址:
DWORD BaseAddress = (DWORD)GetModuleHandle(L"ac_client.exe");
要计算多级指针指向的动态地址,您可以使用此函数,它基本上使用ReadProcessMemory()从外部取消引用指针:
uintptr_t FindDmaAddy(int PointerLevel, HANDLE hProcHandle, uintptr_t Offsets[], uintptr_t BaseAddress)
{
uintptr_t pointer = BaseAddress;
uintptr_t pTemp;
uintptr_t pointerAddr;
for(int i = 0; i < PointerLevel; i++)
{
if(i == 0)
{
ReadProcessMemory(hProcHandle, (LPCVOID)pointer, &pTemp, sizeof(pTemp), NULL);
}
pointerAddr = pTemp + Offsets[i];
ReadProcessMemory(hProcHandle, (LPCVOID)pointerAddr, &pTemp, sizeof(pTemp), NULL);
}
return pointerAddr;
}