البرنامج التعليمي اليوم حول… القراءة والكتابة لذاكرة العمليات !
سأوضح لك في هذه المقالة كيفية القراءة أو كتابة في ذاكرة العملية باستخدام C#.
هذه طريقة جيدة لتعلم جزء من WinAPI وأيضًا فهم أساسيات تخصيص الذاكرة.
سأفكر في عنوان ذاكرة ثابت (معروف) للقراءة والكتابة فقط من أجل البساطة ؛
لا تتردد أيضًا في قراءة مقال كيفية [ فحص ذاكرة العملية ] واكتشاف عناوين المتغيرات المختلفة.
قبل البدء ، نحتاج إلى “هدف” – اخترت notepad.exe.
1- العثور على عنوان الذاكرة الخاصة بالعملية
كما تعلم على الأرجح ، تخزن التطبيقات قيمة كل متغير في عنوان ذاكرة محدد ، ونحن بحاجة إلى معرفة عنوان الذاكرة هذا من أجل تعديل أي شيء. نظرًا لعدم وجود طريقة أخرى للتغلب عليها ( أو لست على علم بذلك؟ ) ، فإن الحل الوحيد هو بدء البحث باستخدام مصحح الأخطاء debugger .
للحصول على عنوان الذاكرة هذا ، استخدمت OllyDbg – لا تقلق ، فكل الخطوات مكتوبة أدناه.
أولاً ، افتح notepad.exe ،
واكتب بعض النصوص (مثل “hello world”)
وأرفق OllyDbg (File-> Attach).
اضغط على F9 ثم ALT + M لفتح خريطة الذاكرة.
يجب أن تبدو هذه:
اضغط على CTRL + B وسيتم فتح نافذة البحث الثنائي Binary Search . الآن ، نظرًا لأن القيمة مخزنة في الذاكرة كـ Unicode ، يجب عليك كتابة السلسلة string التي تبحث عنها في مربع النص الثاني:
لقد حصلنا على عنوان الذاكرة ، الآن … لا تغلق / تعيد تشغيل التطبيق.
إذا قمت بإعادة تشغيله ، فسيتم إعادة تخصيص ذاكرة النص ، لذلك من المرجح أن يتم تغيير العنوان.
2-قراءة ذاكرة العملية
لقراءة القيمة من عنوان الذاكرة هذا ، نحتاج إلى استيراد وظيفتين إلى C# :
OpenProcess () و ReadProcessMemory () من kernel32.dll.
[DllImport("kernel32.dll")]
public static extern IntPtr OpenProcess(int dwDesiredAccess, bool bInheritHandle, int dwProcessId);
[DllImport("kernel32.dll")]
public static extern bool ReadProcessMemory(int hProcess, int lpBaseAddress, byte[] lpBuffer, int dwSize, ref int lpNumberOfBytesRead);
عند فتح العملية ، يجب عليك أيضًا تحديد الوصول المطلوب ( هذه المرة ، تطلب حق الوصول لقراءة الذاكرة ) ، لذلك هذا الثابت مطلوب:
const int PROCESS_WM_READ = 0x0010;
نظرًا لأن الشفرة بالكامل تشرح نفسها بنفسها ، فسأضيف فقط تعليقات قصيرة حيثما تكون هناك حاجة إليها:
using System;
using System.Diagnostics;
using System.Runtime.InteropServices;
using System.Text;
public class MemoryRead
{
const int PROCESS_WM_READ = 0x0010;
[DllImport("kernel32.dll")]
public static extern IntPtr OpenProcess(int dwDesiredAccess, bool bInheritHandle, int dwProcessId);
[DllImport("kernel32.dll")]
public static extern bool ReadProcessMemory(int hProcess, int lpBaseAddress, byte[] lpBuffer, int dwSize, ref int lpNumberOfBytesRead);
public static void Main()
{
Process process = Process.GetProcessesByName("notepad")[0];
IntPtr processHandle = OpenProcess(PROCESS_WM_READ, false, process.Id);
int bytesRead = 0;
byte[] buffer = new byte[24]; //'Hello World!' takes 12*2 bytes because of Unicode
// 0x0046A3B8 is the address where I found the string, replace it with what you found
ReadProcessMemory((int)processHandle, 0x0046A3B8, buffer, buffer.Length, ref bytesRead);
Console.WriteLine(Encoding.Unicode.GetString(buffer) + " (" + bytesRead.ToString() + "bytes)");
Console.ReadLine();
}
}3- الكتابة في ذاكرة العملية
تختلف الكتابة في عنوان الذاكرة قليلاً: ستحتاج إلى OpenProcess () و WriteProcessMemory ().
[DllImport("kernel32.dll")]
public static extern IntPtr OpenProcess(int dwDesiredAccess, bool bInheritHandle, int dwProcessId);
[DllImport("kernel32.dll", SetLastError = true)]
static extern bool WriteProcessMemory(int hProcess, int lpBaseAddress, byte[] lpBuffer, int dwSize, ref int lpNumberOfBytesWritten);ومع ذلك ، أذونات خاصة مطلوبة: أثناء فتح العملية اطلب الامتيازات التالية:
PROCESS_VM_WRITE | PROCESS_VM_OPERATION.
const int PROCESS_VM_WRITE = 0x0020;
const int PROCESS_VM_OPERATION = 0x0008;ملاحظة: يخزن مربع نص المفكرة عدد البايتات التي يجب قراءتها من الذاكرة – يتم تحديث هذه القيمة فقط عندما يغير المستخدم النص. إذا كتبت إلى عنوان الذاكرة سلسلة string أطول ، فسيتم قطعها.
الكود الكامل متاح أدناه:
using System;
using System.Diagnostics;
using System.Runtime.InteropServices;
using System.Text;
public class MemoryRead
{
const int PROCESS_ALL_ACCESS = 0x1F0FFF;
[DllImport("kernel32.dll")]
public static extern IntPtr OpenProcess(int dwDesiredAccess, bool bInheritHandle, int dwProcessId);
[DllImport("kernel32.dll", SetLastError = true)]
static extern bool WriteProcessMemory(int hProcess, int lpBaseAddress, byte[] lpBuffer, int dwSize, ref int lpNumberOfBytesWritten);
public static void Main()
{
Process process = Process.GetProcessesByName("notepad")[0];
IntPtr processHandle = OpenProcess(PROCESS_ALL_ACCESS, false, process.Id);
int bytesWritten = 0;
byte[] buffer = Encoding.Unicode.GetBytes("It works!\0"); // '\0' marks the end of string
// replace 0x0046A3B8 with your address
WriteProcessMemory((int)processHandle, 0x0046A3B8, buffer, buffer.Length, ref bytesWritten);
Console.ReadLine();
}
}
