如何在Go中使用VirtualQueryEx读取检索过程内存信息?

时间:2019-01-25 01:02:21

标签: powershell go winapi

我正在尝试将PSHunt(https://github.com/Infocyte/PSHunt/blob/master/Surveys/Survey.ps1)的特定功能移植到Go。具体来说,我尝试使用VirtualQueryEx遍历进程的内存页面,如以下Powershell片段所示:

# Get handle to the process
$hProcess = $Kernel32::OpenProcess(0x400, $False, $ProcessID) # PROCESS_QUERY_INFORMATION (0x00000400)

if (-not $hProcess) {
    throw "Unable to get a process handle for process ID: $ProcessID"
}

$MemoryInfo = New-Object $MEMORY_BASIC_INFORMATION
$BytesRead = $Kernel32::VirtualQueryEx($hProcess, $ModuleBaseAddress, [Ref] $MemoryInfo, $PageSize)

$null = $Kernel32::CloseHandle($hProcess)

请注意,上面的代码是通过以下方式从其他函数调用的:$MemoryInfo = Get-VirtualMemoryInfo -ProcessID $ProcessID -ModuleBaseAddress ([IntPtr]::Zero) -PageSize $SysInfo.PageSize

我在Go中的实现如下所示:

var systemInfo SYSTEM_INFO
getSystemInfo := 
kernel32dll.NewProc("GetSystemInfo")
_, _, err = getSystemInfo.Call(uintptr(unsafe.Pointer(&systemInfo)))

openProcess := kernel32dll.NewProc("OpenProcess")
hProcess, _, err := openProcess.Call(uintptr(0x410), uintptr(0), uintptr(processId))
fmt.Println("Message from OpenProcess:",err.Error())
defer windows.CloseHandle(windows.Handle(hProcess))

var memoryBasicInformation MEMORY_BASIC_INFORMATION
dll := syscall.MustLoadDLL("kernel32.dll")
defer dll.Release()

virtualQueryEx := dll.MustFindProc("VirtualQueryEx")

bytesRead, _, err := virtualQueryEx.Call((uintptr)(unsafe.Pointer(hProcess)), (uintptr)(unsafe.Pointer(????)), (uintptr)(unsafe.Pointer(&memoryBasicInformation)), (uintptr)(unsafe.Pointer(&systemInfo.PageSize)))
fmt.Println("Bytes read:",bytesRead)
fmt.Println("Message from VirtualQueryEx:", err.Error())

无论我做什么,VirtualQueryEx都会返回“对内存位置的无效访问。”。我无法弄清楚要传递哪个值作为进程的基地址(上面用“ ????”表示)。 Microsoft文档说此参数是可选的,但是如果将其保留为空白,则会收到有关命令长度不正确的错误。

正如我提到的,我的目标是从流程的基础开始,并通过循环遍历整个过程,这将在首次调用VirtualQueryEx之后发生。

作为参考,我正在使用go syscall库(在这种情况下;尽管我也尝试了sys / windows库,但无济于事。)

请让我知道是否可以澄清任何事情。

1 个答案:

答案 0 :(得分:0)

每个进程都有自己的地址空间。如果您访问不属于它的内存地址,则可能导致“对内存位置的无效访问”。

  

我的目标是从流程的基础开始,并扫描整个   通过循环整个事情

首先,将“ lpAddress”(我的意思是“ ????”)从零开始。(通常,您将获得进程基地址和零地址之间的偏移量)

然后,检查memoryBasicInformation.AllocationProtectmemoryBasicInformation.Protect的值以确定是否具有访问权限。

中循环访问“ lpAddress” 
lpAddress = memoryBasicInformation.BaseAddress + memoryBasicInformation.RegionSize

然后继续使用VirtualQueryEx()。 当lpAddress指定一个高于该进程可访问的最高内存地址的地址时,该函数将失败,并显示ERROR_INVALID_PARAMETER,并中断循环。

相关问题
最新问题