القراءة أو الكتابة لذاكرة عملية أخرى(C#)

البرنامج التعليمي اليوم حول… القراءة والكتابة لذاكرة العمليات !
سأوضح لك في هذه المقالة كيفية القراءة أو كتابة في ذاكرة العملية باستخدام C#.
هذه طريقة جيدة لتعلم جزء من WinAPI وأيضًا فهم أساسيات تخصيص الذاكرة.

سأفكر في عنوان ذاكرة ثابت (معروف) للقراءة والكتابة فقط من أجل البساطة ؛
لا تتردد أيضًا في قراءة مقال كيفية [ فحص ذاكرة العملية ] واكتشاف عناوين المتغيرات المختلفة.

قبل البدء ، نحتاج إلى “هدف” – اخترت notepad.exe.

---

1- العثور على عنوان الذاكرة الخاصة بالعملية

---

كما تعلم على الأرجح ، تخزن التطبيقات قيمة كل متغير في عنوان ذاكرة محدد ، ونحن بحاجة إلى معرفة عنوان الذاكرة هذا من أجل تعديل أي شيء. نظرًا لعدم وجود طريقة أخرى للتغلب عليها ( أو لست على علم بذلك؟ ) ، فإن الحل الوحيد هو بدء البحث باستخدام مصحح الأخطاء debugger .

للحصول على عنوان الذاكرة هذا ، استخدمت OllyDbg – لا تقلق ، فكل الخطوات مكتوبة أدناه.

أولاً ، افتح notepad.exe ،
واكتب بعض النصوص (مثل “hello world”)
وأرفق OllyDbg (File-> Attach).
اضغط على F9 ثم ALT + M لفتح خريطة الذاكرة.

يجب أن تبدو هذه:

اضغط على CTRL + B وسيتم فتح نافذة البحث الثنائي Binary Search . الآن ، نظرًا لأن القيمة مخزنة في الذاكرة كـ Unicode ، يجب عليك كتابة السلسلة string التي تبحث عنها في مربع النص الثاني:

لقد حصلنا على عنوان الذاكرة ، الآن … لا تغلق / تعيد تشغيل التطبيق.
إذا قمت بإعادة تشغيله ، فسيتم إعادة تخصيص ذاكرة النص ، لذلك من المرجح أن يتم تغيير العنوان.

---

2-قراءة ذاكرة العملية

---

لقراءة القيمة من عنوان الذاكرة هذا ، نحتاج إلى استيراد وظيفتين إلى C# :
OpenProcess () و ReadProcessMemory () من kernel32.dll.

[DllImport("kernel32.dll")]
public static extern IntPtr OpenProcess(int dwDesiredAccess, bool bInheritHandle, int dwProcessId);

[DllImport("kernel32.dll")]
public static extern bool ReadProcessMemory(int hProcess, int lpBaseAddress, byte[] lpBuffer, int dwSize, ref int lpNumberOfBytesRead);

عند فتح العملية ، يجب عليك أيضًا تحديد الوصول المطلوب ( هذه المرة ، تطلب حق الوصول لقراءة الذاكرة ) ، لذلك هذا الثابت مطلوب:

const int PROCESS_WM_READ = 0x0010;

---

نظرًا لأن الشفرة بالكامل تشرح نفسها بنفسها ، فسأضيف فقط تعليقات قصيرة حيثما تكون هناك حاجة إليها:

using System;
using System.Diagnostics;
using System.Runtime.InteropServices;
using System.Text;

public class MemoryRead
{
    const int PROCESS_WM_READ = 0x0010;

    [DllImport("kernel32.dll")]
    public static extern IntPtr OpenProcess(int dwDesiredAccess, bool bInheritHandle, int dwProcessId);

    [DllImport("kernel32.dll")]
    public static extern bool ReadProcessMemory(int hProcess, int lpBaseAddress, byte[] lpBuffer, int dwSize, ref int lpNumberOfBytesRead);

    public static void Main()
    {

        Process process = Process.GetProcessesByName("notepad")[0]; 
        IntPtr processHandle = OpenProcess(PROCESS_WM_READ, false, process.Id); 

        int bytesRead = 0;
        byte[] buffer = new byte[24]; //'Hello World!' takes 12*2 bytes because of Unicode 

        // 0x0046A3B8 is the address where I found the string, replace it with what you found
        ReadProcessMemory((int)processHandle, 0x0046A3B8, buffer, buffer.Length, ref bytesRead);

        Console.WriteLine(Encoding.Unicode.GetString(buffer) + " (" + bytesRead.ToString() + "bytes)");
        Console.ReadLine();
    }
}

---

3- الكتابة في ذاكرة العملية

---

تختلف الكتابة في عنوان الذاكرة قليلاً: ستحتاج إلى OpenProcess () و WriteProcessMemory ().

[DllImport("kernel32.dll")]
public static extern IntPtr OpenProcess(int dwDesiredAccess, bool bInheritHandle, int dwProcessId);

[DllImport("kernel32.dll", SetLastError = true)]
static extern bool WriteProcessMemory(int hProcess, int lpBaseAddress, byte[] lpBuffer, int dwSize, ref int lpNumberOfBytesWritten);

ومع ذلك ، أذونات خاصة مطلوبة: أثناء فتح العملية اطلب الامتيازات التالية:
PROCESS_VM_WRITE | PROCESS_VM_OPERATION.

const int PROCESS_VM_WRITE = 0x0020;
const int PROCESS_VM_OPERATION = 0x0008;

ملاحظة: يخزن مربع نص المفكرة عدد البايتات التي يجب قراءتها من الذاكرة – يتم تحديث هذه القيمة فقط عندما يغير المستخدم النص. إذا كتبت إلى عنوان الذاكرة سلسلة string  أطول ، فسيتم قطعها.

الكود الكامل متاح أدناه:

using System;
using System.Diagnostics;
using System.Runtime.InteropServices;
using System.Text;

public class MemoryRead
{
    const int PROCESS_ALL_ACCESS = 0x1F0FFF;

    [DllImport("kernel32.dll")]
    public static extern IntPtr OpenProcess(int dwDesiredAccess, bool bInheritHandle, int dwProcessId);

    [DllImport("kernel32.dll", SetLastError = true)]
    static extern bool WriteProcessMemory(int hProcess, int lpBaseAddress, byte[] lpBuffer, int dwSize, ref int lpNumberOfBytesWritten);

    public static void Main()
    {

        Process process = Process.GetProcessesByName("notepad")[0];
        IntPtr processHandle = OpenProcess(PROCESS_ALL_ACCESS, false, process.Id); 

        int bytesWritten = 0;
        byte[] buffer = Encoding.Unicode.GetBytes("It works!\0"); // '\0' marks the end of string

        // replace 0x0046A3B8 with your address
        WriteProcessMemory((int)processHandle, 0x0046A3B8, buffer, buffer.Length, ref bytesWritten);
        Console.ReadLine();
    }
}

---

انتهى