C++ Obtenir Module Adresse de Base pour 64bit Application

J'ai été jouer avec la mémoire de lecture/de montage récemment et se sont heurtés à un problème qui, je pense, est due à l'application 64 bits, j'ai aussi essayé de compiler sous 64 bits.
Je n'ai eu aucun problème avec ce script à l'aide avec les applications 32 bits, cependant lorsque je l'ai essayer sur Solitaire il ne parvient pas à obtenir l'adresse de base, qui ne parvient pas à la séance d'entraînement de corriger les décalages ect.
Voici le script:

#include "stdafx.h"
#include <iostream>
#include <Windows.h>
#include <TlHelp32.h>
using namespace std;
DWORD dwGetModuleBaseAddress(DWORD dwProcessID, TCHAR *lpszModuleName)
{
HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwProcessID);
DWORD dwModuleBaseAddress = 0;
if (hSnapshot != INVALID_HANDLE_VALUE)
{
MODULEENTRY32 ModuleEntry32 = { 0 };
ModuleEntry32.dwSize = sizeof(MODULEENTRY32);
if (Module32First(hSnapshot, &ModuleEntry32))
{
do
{
if (_tcscmp(ModuleEntry32.szModule, lpszModuleName) == 0)
{
dwModuleBaseAddress = (DWORD)ModuleEntry32.modBaseAddr;
break;
}
} while (Module32Next(hSnapshot, &ModuleEntry32));
}
CloseHandle(hSnapshot);
}
return dwModuleBaseAddress;
}
int main()
{
DWORD address = 0xBAFA8;
HWND hwnd = FindWindow(0, L"Solitaire");
DWORD pid;
int data = 0;
int newData = 0;
if (hwnd)
{
GetWindowThreadProcessId(hwnd, &pid);
HANDLE phandle = OpenProcess(PROCESS_ALL_ACCESS, 0, pid);
if (phandle)
{
DWORD base = dwGetModuleBaseAddress(pid, L"Solitaire.exe");
cout << "Base: " << (void*)base << endl;
ReadProcessMemory(phandle, (LPCVOID)(base + address), &data, sizeof(data), 0);
}
else {
cout << "Couldnt get handle" << endl;
}
}
else {
cout << "Couldn't find window" << endl;
}
cin.get();
return 0;
}

Le problème peut être que la fonction que j'utilise utilise MODULE32, cependant j'ai essayé d'autres fonctions (qui utilise EnumModules) qui ne parvient toujours pas à l'adresse de retour.

Des idées comment faire pour obtenir l'adresse de base de 64 bits de l'application ou pour obtenir ce script?

Grâce

Cela peut être utile (note de la discussion qui fait référence au nombre de bits de la cible et le programme de recherche de programme) stackoverflow.com/questions/17412545/...
modBaseAddr est un pointeur. Arrêtez de coulée pour un entier de 32 bits. Vous comprenez que les pointeurs sont des 64 bits sur 64 bits de Windows droit? Vous ne serez pas en mesure de voir en 64 bits processus à partir d'un processus 32 bits fonctionnant sous la version 32 bits WOW64 émulateur. Si l'exécution de 64 bits est essentiel.

InformationsquelleAutor user3366103 | 2014-10-26

c++visual-c++winapi

3

Bien votre code ne va jamais fonctionner correctement car vous parlez de 64 bits mais vous utilisez DWORD pour l'adresse de base! Solitaire pourrait 32 bits de l'adresse, mais vous ne pouvez pas garantir que vous ne devez jamais l'assumer.

Cette fonction. Il nécessite uniquement l'ID de processus du processus en question, et il suppose que vous voulez l'adresse de base de ce processus. c'est à dire pas un de ses Dll. Si vous ne voulez pas le processus propriétaire, alors vous devez parcourir moduleArray en utilisant quelque chose comme for (int i=0; i<moduleCount; i++ ) { //do something with moduleArray[i] } et puis vérifier le module de nom de fichier.

Si vous voulez seulement le départ du processus (l'exécutable), vous pouvez simplement faire l'hypothèse que c'est le premier élément dans le tableau.
```
DWORD_PTR GetProcessBaseAddress( DWORD processID )
{
DWORD_PTR   baseAddress = 0;
HANDLE      processHandle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, processID);
HMODULE     *moduleArray;
LPBYTE      moduleArrayBytes;
DWORD       bytesRequired;
if ( processHandle )
{
if ( EnumProcessModules( processHandle, NULL, 0, &bytesRequired ) )
{
if ( bytesRequired )
{
moduleArrayBytes = (LPBYTE)LocalAlloc( LPTR, bytesRequired );
if ( moduleArrayBytes )
{
unsigned int moduleCount;
moduleCount = bytesRequired / sizeof( HMODULE );
moduleArray = (HMODULE *)moduleArrayBytes;
if ( EnumProcessModules( processHandle, moduleArray, bytesRequired, &bytesRequired ) )
{
baseAddress = (DWORD_PTR)moduleArray[0];
}
LocalFree( moduleArrayBytes );
}
}
}
CloseHandle( processHandle );
}
return baseAddress;
}
```
- merci pour ce travail de script, je l'asume cela ne fonctionne que sur 64 bits et il n'y a pas de solution universelle?
- Je n'ai compiler le code 64 bits. Je ne sais pas vraiment ce que vous voulez faire avec l'image une fois que vous l'avez. Vous pouvez probablement le compiler en 32 bits et de travailler sur elle, mais vous aurez à utiliser de manière explicite 64 bits des valeurs pour tous les types de pointeur comme l'adresse de base et tous les offsets. Mais une version 64 bits du programme pourrait plus facilement accès, soit 32 bits ou 64 bits des images.
InformationsquelleAutor Nostromoo
1

Comme évoqué par David cette ligne est fausse:
```
dwModuleBaseAddress = (DWORD)ModuleEntry32.modBaseAddr;
```
puisque vous êtes en jetant un 64-bit pointeur (sur une application 64 bits) pour un DWORD tronquer la valeur (capture d'écran à partir du débogueur, 64 bits d'application de l'ouverture d'un 64 bits processus)

Vous devriez aller pour un type de pointeur (DWORD_PTR pourrait également travailler pour une solution portable).
- Pourquoi ULONGLONG? Stocker un pointeur sur un pointeur de type de données. unsigned char* semble assez dur à battre.
- C'est le 64 type de la base d'image. De toute façon DWORD_PTR est sans doute plus portable.
- Donc, je peux utiliser la fonction d'origine en changeant juste à coulé DWORD_PTR?
- Qui permettra de régler ce problème de troncature, oui. DWORD_PTR est défini comme pointeur de 32 bits sur 32 bits et 64 bits pointeur sur une version 64 bits de code de sorte qu'il devrait également être portable. Je crois que d'autres problèmes vont vous empêcher d'ouvrir 64 bits processus à partir de 32 bits, les applications, mais à côté de cela vous devriez être bon.
- J'ai fait changer il de jeter DWORD_PTR et changé " DWORD dwModuleBaseAddress = 0;' pour DWORD_PTR et encore cant get fonction d'origine pour travailler une idée?
InformationsquelleAutor Marco A.

-1

Échantillon de la console demande basée sur les exemples donnés par @Nostromoo

Devrait fonctionner sur x86/x64

#include "stdafx.h"
#include <windows.h>
#include <psapi.h>
#include <vector>
#define MODULE_NAME L"TestModule"
#define WINDOW_NAME L"TestConsole"
bool GetBaseModuleInfo(MODULEINFO* baseModuleInfo);
HMODULE GetProcessBaseAddressFromProcessHandle(HANDLE processHandle);
bool EnumProcessModulesPlattform(HANDLE processHandle, HMODULE* lphModule, DWORD cb, LPDWORD bytesRequired);
DWORD GetProcessIdentifier(const wchar_t* windowName);
int main()
{
SetConsoleTitle(WINDOW_NAME);
//Wait for the title to be set otherwise the window might not be found.
Sleep(200);
MODULEINFO baseModuleInfo;
bool success = GetBaseModuleInfo(&baseModuleInfo);
if (success == false) {
wprintf(MODULE_NAME L"main() - GetBaseModuleInfo() failed.\n");
std::getchar();
return 1;
}
wchar_t buffer[2000];
#ifdef _WIN64
swprintf_s(buffer, sizeof(buffer) / sizeof(*buffer), MODULE_NAME L"main() - baseAddress: '%llX' size: '%lX'\n", baseModuleInfo.lpBaseOfDll, baseModuleInfo.SizeOfImage);
#elif _WIN32
swprintf_s(buffer, sizeof(buffer) / sizeof(*buffer), MODULE_NAME L"main() - baseAddress: '%lX' size: '%lX'\n", baseModuleInfo.lpBaseOfDll, baseModuleInfo.SizeOfImage);
#endif
wprintf(buffer);
std::getchar();
return 0;
}
bool GetBaseModuleInfo(MODULEINFO* baseModuleInfo)
{
DWORD processID = GetProcessIdentifier(WINDOW_NAME);
if (processID == NULL) {
wprintf(MODULE_NAME L"GetBaseModuleInfo() - GetProcessIdentifier() returned NULL.\n");
return false;
}
HANDLE processHandle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, processID);
if (processHandle == NULL) {
wprintf(MODULE_NAME L"GetBaseModuleInfo() - OpenProcess() returned NULL.\n");
return false;
}
HMODULE baseAddress = GetProcessBaseAddressFromProcessHandle(processHandle);
if (baseAddress == NULL) {
wprintf(MODULE_NAME L"GetBaseModuleInfo() - GetProcessBaseAddressFromProcessHandle() returned NULL.\n");
return false;
}
bool resultGMI = GetModuleInformation(processHandle, baseAddress, baseModuleInfo, sizeof(*baseModuleInfo));
//NOTE: GetModuleInformation doesn't fail even if the baseAddress is wrong. Maybe it uses the nearest module?
if (resultGMI == false) {
wprintf(MODULE_NAME L"GetBaseModuleInfo() - GetModuleInformation() failed.\n");
return false;
}
CloseHandle(processHandle);
return true;
}
HMODULE GetProcessBaseAddressFromProcessHandle(HANDLE processHandle)
{
DWORD bytesRequired;
if (EnumProcessModulesPlattform(processHandle, NULL, 0, &bytesRequired) == false) {
wprintf(MODULE_NAME L"GetProcessBaseAddressFromProcessHandle() - EnumProcessModules() error.\n");
return NULL;
}
if (bytesRequired == NULL) {
wprintf(MODULE_NAME L"GetProcessBaseAddressFromProcessHandle() - EnumProcessModules() returned 0 bytesRequired.\n");
return NULL;
}
unsigned int moduleCount = bytesRequired / sizeof(HMODULE);
std::vector<HMODULE> hModules(moduleCount, 0);
if (EnumProcessModulesPlattform(processHandle, &hModules[0], bytesRequired, &bytesRequired) == false) {
wprintf(MODULE_NAME L"GetProcessBaseAddressFromProcessHandle() - EnumProcessModules(moduleArray) error.\n");
return NULL;
}
//The first item is always the baseModule.
HMODULE baseAddress = hModules[0];
return baseAddress;
}
bool EnumProcessModulesPlattform(HANDLE processHandle, HMODULE* lphModule, DWORD cb, LPDWORD bytesRequired)
{
#ifdef _WIN64
bool returnValue = EnumProcessModulesEx(processHandle, lphModule, cb, bytesRequired, LIST_MODULES_64BIT);
#elif _WIN32
bool returnValue = EnumProcessModulesEx(processHandle, lphModule, cb, bytesRequired, LIST_MODULES_32BIT);
#endif
DWORD lastError = GetLastError();
if (lastError != 0) {
wprintf(MODULE_NAME L"EnumProcessModulesPlattform() - lastError != 0 EnumProcessModulesEx().\n");
return false;
}
return returnValue;
}
DWORD GetProcessIdentifier(const wchar_t* windowName)
{
HWND windowHandle = FindWindow(NULL, windowName);
if (windowHandle == NULL) {
wprintf(MODULE_NAME L"GetProcessIdentifier() - Could not find hwnd of '%s'.\n", windowName);
return NULL;
}
DWORD processID;
GetWindowThreadProcessId(windowHandle, &processID);
return processID;
}

comment pensez - quelle sera la valeur de sizeof(baseModuleInfo.lpBaseOfDll) ? basé sur quoi ? sont-il pas déjà définies au moment de la compilation ?
Si il est compilé sur x86, il est de 4 octets, et si il est compilé sur x64 je est de 8 octets. Il est défini au moment de la compilation... et il pourrait être le faire avec le définit mais c'est juste pour montrer comment la fonction est utilisé de toute façon.
oui. donc d'abord ce que doit être choisi de ne pas en runtime, mais au moment de la compilation par #if bloc. au deuxième si vous compilez le code 32 bits - vous de ne pas obtenir 64 bits module d'adresse de base. au troisième votre solution efficace et très pas le meilleur
Je ne comprends pas ce que tu veux dire avec "au deuxième si vous compilez le code 32 bits - vous de ne pas obtenir 64 bits module de la base de l'adresse'. Bien efficace: je n'ai pas s'attendre à courir très souvent dans un programme de sorte que son assez efficace.
je veux dire que les 32 bits de code ne pouvez pas obtenu l'adresse de base de 64 bits module. EnumProcessModules échouer dans ce cas
HMODULE la change de taille en fonction de si il est compilé sur x86 ou x64, donc je ne vois pas pourquoi il devrait échouer. Et aussi loin que je peux dire qu'il fonctionne très bien lorsque je le compile avec x86 ou x64 de réglage.
Laissez-nous continuer cette discussion dans le chat.

InformationsquelleAutor Sebastian Ax

Vous devez vous connecter pour publier un commentaire.