Эффективное сканирование памяти процесса

Недавно я собрал класс С#, который может читать и писать байты в другой памяти процессов с помощью вызовов API и т.д., так как я уверен, что вы все видели раньше.

Мой вопрос, однако, относится к тому, как я могу эффективно сканировать память другого процесса? Я знаю базовый метод тестирования каждой группы из 4 байтов, пока вы не достигнете Int32.MaxValue, но я обнаружил, что это (как вы можете себе представить) невероятное время и ресурс.

Из того, что я прочитал, есть способ определить выделенные адреса процесса, выполнив "HeapWalk". Может ли кто-нибудь предоставить мне некоторые примеры кода и/или информацию об этом и что будет лучшим способом для этого?

Ответы

Ответ 1

То, что вы ищете, это список областей памяти, который в основном представляет собой список адресов пары/области памяти.

Что вы должны сделать:

  • получить дескриптор целевого процесса, используя его идентификатор процесса (PID), используя OpenProcess
  • вызовите функцию VirtualQueryEx до тех пор, пока вы не достигнете конца памяти (т.е. когда результат метода больше 0)
  • закрыть дескриптор процесса, который вы открыли.

Запустите VirtualQueryEx с lpAddress как 0x0. Это вернет структуру MEMORY_BASIC_INFORMATION, которая содержит как свойства BaseAddress, так и RegionSize (это представляет собой пространство памяти, которое вы можете прочитать). Затем увеличьте параметр lpAdress значением RegionSize, поэтому следующий вызов VirtualQueryEx вернет следующую область... и т.д.

Google OpenProcess, CloseHandle, VirtualQueryEx и MEMORY_BASIC_INFORMATION, чтобы вы могли использовать различные объявления P/Invoke, поэтому вы можете вызывать эти функции Win32 с С#.

Ответ 2

Могу ли я посоветовать вам что-то увеличить производительность сканирования. Наиболее дорогие действия - I\O. Поэтому, если вы, например, ищете подстроку в памяти, прочитайте весь блок памяти, прежде чем заглядывать внутрь, вместо чтения небольших фрагментов памяти.