我正在研究Win x64逆向工程领域(如果您问我,这是一个完整的噩梦。),但我仍然不知道如何在“ 0x0007fff”地址(用户空间)上方扫描进程内存。
使用与c ++进程相关的标准函数,可以为我提供基本(内核空间)地址。我知道每个用户空间的内存位置都可以通过其各自的指针向下跟踪到内核空间,但是我需要直接在用户空间地址上运行AoB扫描。
附带的当前代码示例。
VirtualProtectEx(hProcess, (void*)currentChunk, sizeof(buffer), PAGE_EXECUTE_READWRITE, &oldprotect);
ReadProcessMemory(hProcess, (void*)currentChunk, &buffer, sizeof(buffer), &bytesRead);
VirtualProtectEx(hProcess, (void*)currentChunk, sizeof(buffer), oldprotect, &oldprotect);