我正在尝试从内存中运行的可执行文件中读取内存地址,然后使用这些内存地址来遍历PE结构。
我遇到了麻烦,因为我不确定如何将4字节字符数组转换为等效的int。
到目前为止,这是我的代码:
char buffer[4];
int e_lfanew = 60;
if(!ReadProcessMemory(pHandle, (me32.modBaseAddr + e_lfanew), buffer, 4, NULL))
{
printf("ReadProcessMemory @ %x Failed (%d)\n", me32.modBaseAddr, GetLastError());
}
我正在读入的地址,在本例中为0xE0000000,是PE标头的偏移量。我想获取我刚刚读取的内存地址并将其用作偏移量以再次从进程内存中读取,但我无法弄清楚如何将其正确转换为int。
非常感谢任何帮助。
答案 0 :(得分:2)
buffer[0] |
(buffer[1] << 8) |
(buffer[2] << 16) |
(buffer[3] << 24)
或者相反,取决于您的高位字节是缓冲区[0]还是缓冲区[3]
答案 1 :(得分:0)
int MemoryBufferToInt(char* buffer, int buffer_size) {
int result;
assert(buffer_size == sizeof(result));
memcpy(&result, &buffer[0], sizeof(result));
return result;
}
上面的代码假定此缓冲区是从进程获得的,因此内存缓冲区的字节顺序与平台上常规int的字节顺序相同。否则,如果您知道缓冲区的字节顺序是什么,则可以轻松地为特定字节顺序构造整数。
请注意,您可以使用static_cast<char*>(&result)代替缓冲区作为检索缓冲区内容的函数的参数。