Память процесса

@DiZ911 · Регистрация: 19.11.2014

Author24 — интернет-сервис помощи студентам

Добрый вечер. Работаю с программой Cheat Engine для поиска статических адресов памяти процесса (копаюсь в памяти эмуляторов ретро-консолей). В общем, в чем проблема:
Имеется один эмулятор, с которым не могу разобраться. Его статические адреса постоянно меняются, а в окне редактирования указателя пишет так: "MesenCore.dll"+04264098. Я так понимаю из-за этого постоянно, и меняются адреса?
Как средствами C# узнать это самое значение "MesenCore.dll"? Уточню, что эмулятор 64-разрядный, а моя софтинка 32-разрядная.

@DiZ911 · 25.08.2017, 21:35 **[ТС]**

Как же достать модули 64бит процесса из 32битного приложения?

@jr_ · 25.08.2017, 23:36

например из 64битного пеба

@DiZ911 · 26.08.2017, 07:16 **[ТС]**

можно подробнее? я никогда с этим не сталкивался

@jr_ · 26.08.2017, 14:38

что то около

C#

using System;
using System.Linq;
using System.Runtime.InteropServices;
using System.Diagnostics;
 
namespace ConsoleApp1 {
    class Program {
 
        [DllImport("ntdll.dll")]
        static unsafe extern uint NtWow64QueryInformationProcess64(IntPtr handle, int infoClass, void* info, int infoLength, out int returnLength);
        [DllImport("ntdll.dll")]
        static unsafe extern uint NtWow64ReadVirtualMemory64(IntPtr handle, long baseAddress, void* buffer, long size, out long readed);
 
        [StructLayout(LayoutKind.Sequential, Pack = 8)]
        struct PROCESS_BASIC_INFORMATION64 {
            public uint ExitStatus;
            public uint Reserved0;
            public long PebBaseAddress;
            public long AffinityMask;
            public int BasePriority;
            public uint Reserved1;
            public long UniqueProcessId;
            public long InheritedFromUniqueProcessId;
        }
 
        [StructLayout(LayoutKind.Sequential, Pack = 8)]
        struct LIST_ENTRY64 {
            public long Flink;
            public long Blink;
        }
 
        [StructLayout(LayoutKind.Sequential, Pack = 8)]
        unsafe struct PEB64 {
            fixed byte pad[24];
            public long Ldr;
        }
 
        [StructLayout(LayoutKind.Sequential, Pack = 8)]
        unsafe struct LDR_DATA64 {
            fixed byte pad[16];
            public LIST_ENTRY64 InLoadOrderModuleList;
        }
 
        [StructLayout(LayoutKind.Sequential, Pack = 8)]
        struct UNICODE_STRING64 {
            public short Length;
            public short MaximumLength;
            public long Buffer;
        }
 
        [StructLayout(LayoutKind.Sequential, Pack = 8)]
        struct LDR_DATA_TABLE_ENTRY_BASE_64 {
            public LIST_ENTRY64 InLoadOrderLinks;
            public LIST_ENTRY64 InMemoryOrderLinks;
            public LIST_ENTRY64 InInitializationOrderLinks;
            public long DllBase;
            public long EntryPoint;
            public int SizeOfImage;
            public UNICODE_STRING64 FullDllName;
            public UNICODE_STRING64 BaseDllName;
        }
 
        static unsafe void Main(string[] args) {
            var pbi = new PROCESS_BASIC_INFORMATION64();
            var peb = new PEB64();
            
            var proc = Process.GetProcessesByName("taskmgr").First();
            var status = NtWow64QueryInformationProcess64(proc.Handle, 0, &pbi, sizeof(PROCESS_BASIC_INFORMATION64), out int ret);
            
            var readed = 0L;
            status = NtWow64ReadVirtualMemory64(proc.Handle, pbi.PebBaseAddress, &peb, sizeof(PEB64), out readed);
 
            var firstEntry = new LIST_ENTRY64();
            var pFirstEntry = peb.Ldr + 16;
            status = NtWow64ReadVirtualMemory64(proc.Handle, pFirstEntry, &firstEntry, sizeof(LIST_ENTRY64), out readed);
 
            for (long pEntry = firstEntry.Flink; pEntry != pFirstEntry; ) {
                var entry = new LIST_ENTRY64();
                status = NtWow64ReadVirtualMemory64(proc.Handle, pEntry, &entry, sizeof(LIST_ENTRY64), out readed);
                if (status != 0) {
                    break;
                }
 
                var imageEntry = new LDR_DATA_TABLE_ENTRY_BASE_64();
                status = NtWow64ReadVirtualMemory64(proc.Handle, pEntry, &imageEntry, sizeof(LDR_DATA_TABLE_ENTRY_BASE_64), out readed);
                if (status != 0) {
                    break;
                }
 
                var buffer = new char[imageEntry.BaseDllName.Length / 2];
                fixed (char* pBuffer = buffer)
                    status = NtWow64ReadVirtualMemory64(proc.Handle, imageEntry.BaseDllName.Buffer, pBuffer, buffer.Length * 2, out readed);
 
                var dllName = new string(buffer);
                Console.WriteLine($"name {dllName} base {imageEntry.DllBase:X} size {imageEntry.SizeOfImage:X} ");
 
                pEntry = entry.Flink;
            }
 
            Console.ReadKey();
        }
    }
}

@DiZ911 · 26.08.2017, 15:25 **[ТС]**

Спасибо, после работы буду пробовать

Новые блоги и статьи
Книги и учебные ресурсы по C# InfoMaster 08.01.2025 Базовые учебники и руководства Одной из лучших книг для начинающих является "C# 10 и . NET 6 для начинающих" Эндрю Троелсена и Филиппа Джепикса . Книга последовательно раскрывает основные концепции. . .	Что такое NullReferenceException и как исправить? InfoMaster 08.01.2025 NullReferenceException - одно из самых распространенных исключений, с которым сталкиваются разработчики на C#. Это исключение возникает при попытке обратиться к членам объекта (методам, свойствам или. . .	Что такое Null Pointer Exception (NPE) и как это исправить? InfoMaster 08.01.2025 Null Pointer Exception (NPE) - это одно из самых распространенных исключений в Java, которое возникает при попытке использовать ссылку на объект, значение которой равно null. Это исключение относится. . .	Русский язык в консоли C++ InfoMaster 08.01.2025 При разработке программ на C++ одной из частых проблем, с которой сталкиваются русскоязычные программисты, является корректное отображение кириллицы в консольных приложениях. Эта проблема особенно. . .	Telegram бот на C# InfoMaster 08.01.2025 Разработка ботов для Telegram стала неотъемлемой частью современной экосистемы мессенджеров. C# предоставляет мощный и удобный инструментарий для создания разнообразных ботов, от простых. . .	Использование GraphQL в Go (Golang) InfoMaster 08.01.2025 Go (Golang) является одним из наиболее популярных языков программирования, используемых для создания высокопроизводительных серверных приложений. Его архитектурные особенности и встроенные. . .
Что лучше использовать при создании класса в Java: сеттеры или конструктор? Alexander-7 08.01.2025 Вопрос подробнее: На вопрос: «Когда одновременно создаются конструктор и сеттеры в классе – это нормально?» куратор уточнил: «Ваш класс может вообще не иметь сеттеров, а только конструктор и геттеры. . .	Как работать с GraphQL на TypeScript InfoMaster 08.01.2025 Введение в GraphQL и TypeScript В современной разработке веб-приложений GraphQL стал мощным инструментом для создания гибких и эффективных API. В сочетании с TypeScript, эта технология. . .	Счётчик на базе сумматоров + регистров и генератора сигналов согласования. Hrethgir 07.01.2025 Создан с целью проверки скорости асинхронной логики: ранее описанного сумматора и предополагаемых fast регистров. Регистры созданы на базе ранее описанного, предполагаемого fast триггера. То-есть. . .	Как перейти с Options API на Composition API в Vue.js BasicMan 06.01.2025 Почему переход на Composition API актуален В мире современной веб-разработки фреймворк Vue. js продолжает эволюционировать, предлагая разработчикам все более совершенные инструменты для создания. . .	Архитектура современных процессоров inter-admin 06.01.2025 Процессор (центральный процессор, ЦП) является основным вычислительным устройством компьютера, которое выполняет обработку данных и управляет работой всех остальных компонентов системы. Архитектура. . .	История создания реляционной модели баз данных, правила Кодда Programming 06.01.2025 Предпосылки создания реляционной модели В конце 1960-х годов компьютерная индустрия столкнулась с серьезными проблемами в области управления данными. Существовавшие на тот момент модели данных -. . .

@DiZ911 0 / 0 / 0 Регистрация: 19.11.2014 Сообщений: 86
		1
	Память процесса 25.08.2017, 17:41. Показов 3108. Ответов 5 Метки нет (Все метки) Добрый вечер. Работаю с программой Cheat Engine для поиска статических адресов памяти процесса (копаюсь в памяти эмуляторов ретро-консолей). В общем, в чем проблема: Имеется один эмулятор, с которым не могу разобраться. Его статические адреса постоянно меняются, а в окне редактирования указателя пишет так: "MesenCore.dll"+04264098. Я так понимаю из-за этого постоянно, и меняются адреса? Как средствами C# узнать это самое значение "MesenCore.dll"? Уточню, что эмулятор 64-разрядный, а моя софтинка 32-разрядная. Миниатюры 0

@DiZ911 0 / 0 / 0 Регистрация: 19.11.2014 Сообщений: 86
	25.08.2017, 21:35 [ТС]	2
	Как же достать модули 64бит процесса из 32битного приложения? 0

@jr_ 138 / 138 / 53 Регистрация: 14.06.2016 Сообщений: 467
	25.08.2017, 23:36	3
	например из 64битного пеба 1

@DiZ911 0 / 0 / 0 Регистрация: 19.11.2014 Сообщений: 86
	26.08.2017, 07:16 [ТС]	4
	можно подробнее? я никогда с этим не сталкивался 0

@DiZ911 0 / 0 / 0 Регистрация: 19.11.2014 Сообщений: 86
	26.08.2017, 15:25 [ТС]	6
	Спасибо, после работы буду пробовать 0

Память процесса

Решение