Readprocessmemory用法

函数功能：该函数从指定的进程中读入内存信息，被读取的区域必须具有访问权限。

 

函数原型：BOOL ReadProcessMemory(HANDLE hProcess,LPCVOID lpBaseAddress,LPVOID lpBuffer,DWORD nSize,LPDWORD lpNumberOfBytesRead)；

 

参数：

hProcess：进程句柄

 

lpBaseAddress：读出数据的地址

 

lpBuffer：存放读取数据的地址

 

nSize：读出的数据大小

 

lpNumberOfBytesRead：数据的实际大小

 

C#中使用该函数首先导入命名空间：

[c-sharp] view plaincopy

1. using System.Runtime.InteropServices;  

 

然后写API引用部分的代码，放入 class 内部

 

[c-sharp] view plaincopy

1. [DllImport("kernel32.dll ")]  
2. static extern bool ReadProcessMemory(int hProcess, int lpBaseAddress,out int lpBuffer, int nSize, out int lpNumberOfBytesRead);   

 

这个函数有五个参数，第一个参数是 进程句柄，由OpenProcess函数获取；第二个参数是要读出数据的地址，使用CE等辅助工具可取得；第三个参数是用于存放读取数据的地址；第四个参数是 要读出的数据大小；第五个参数是读出数据的实际大小。例如：

[c-sharp] view plaincopy

1. IntPtr hwnd = FindWindow(null, "计算器");  
2. const int PROCESS_ALL_ACCESS = 0x1F0FFF;  
3. const int PROCESS_VM_READ = 0x0010;  
4. const int PROCESS_VM_WRITE = 0x0020;  
5. if (hwnd != IntPtr.Zero)  
6. {  
7.     int calcID;  
8.     int calcProcess;  
9.     int dataAddress;  
10.     int readByte;  
11.     GetWindowThreadProcessId(hwnd, out calcID);  
12.     calcProcess = OpenProcess(PROCESS_VM_READ | PROCESS_VM_WRITE, false, calcID);  
13.     //假设地址0X0047C9D4存在信息  
14.     ReadProcessMemory(calcProcess, 0X0047C9D4, out dataAddress, 4, out readByte);  
15.     MessageBox.Show(dataAddress.ToString());  
16. }  
17. else  
18. {  
19.     MessageBox.Show("没有找到窗口");  
20. }  

如果我们读取的一段内存中的数据，我们引入部分可修改成如下：

[c-sharp] view plaincopy

1. //二维数组  
2. [DllImport("kernel32.dll ")]  
3. static extern bool ReadProcessMemory(int hProcess, int lpBaseAddress, byte[,] lpBuffer, int nSize, out int lpNumberOfBytesRead);  
4. //一维数组  
5. [DllImport("kernel32.dll ")]  
6. static extern bool ReadProcessMemory(int hProcess, int lpBaseAddress, byte[] lpBuffer, int nSize, out int lpNumberOfBytesRead);   

由于数组是引用传递，我们不需要写out关键字。