如何从Windows应用程序内存中读取一些数据？

Question

我有一个应用程序，它向我显示一些数据。我需要附加到这个应用程序的进程，在内存中找到我需要的数据（实际上是一个数字），并将其保存在某个地方。该应用程序似乎没有使用标准的 Windows 控件，因此事情不会像使用 AutoIt 或类似的东西读取控件数据那么简单。

目前，我是一名自学数据库的人，对 Windows 应用程序调试的了解相当肤浅。甚至不确定我的问题是否足够正确。

那么，您能否给我一些入门指南，比如我应该首先阅读什么，以及我应该努力的一般方向？

谢谢。

Answer 1

要读取其他应用程序的内存，您需要打开 OpenProcess 至少具有 PROCESS_VM_READ 访问权限，然后使用 ReadProcessMemory 从进程中读取任何内存地址。如果您是管理员或具有调试权限，您将能够以最大访问权限打开任何进程，您只需在之前启用 SeDebugPrivilege （请参阅例如 http://support.microsoft.com/kb/131065）。

如果您不太了解目标进程的内存，您可以枚举有关 VirtualQueryEx（请参阅如何使用 VirtualAllocEx 为代码洞腾出空间？ 作为我检查程序代码的示例。您可以以相同的方式检查程序数据）。

我看到的最实际的问题是你问问题的方式太笼统。如果您更多地解释您正在寻找什么样的数据，我可能会建议您更好的方法。例如，如果您可以在某处看到数据，则可以检查 Spy++（Visual Studio 工具的一部分）的相应窗口和控件。最重要的是窗口（或控件）的类以及在显示最感兴趣的窗口时发送的消息。您还可以使用进程监视器来跟踪所有文件和注册表访问显示感兴趣信息的窗口的时间。至少在开始时，您应该使用 ReadProcessMemory 当您要查找的数据显示在窗口上时。

如果您的调查没有成功，我建议您在问题中插入更多信息。

Answer 2

我的主要建议是：尝试寻找除此之外的任何其他集成方法。即使您成功了，您也将受到目标进程（甚至可能是 Windows 操作系统）中任何类型更改的影响。您所描述的是大多数病毒扫描程序应该标记和阻止的行为：如果不是现在，那么将来也是如此。

也就是说，您可以查看 DLL 注入。然而，听起来好像您必须在反汇编级别调试目标进程：否则，您如何知道要读取哪个内存地址？

Answer 3

我曾经了解Windows调试API，但早已忘记了。如何使用 ollydbg:

http://www.ollydbg.de/

并使用 ollydbg 脚本和自动？

Answer 4

听起来很有趣……但非常困难。既然你说这是“一次性”，那么像这样的事情呢？

• 截取此应用程序的屏幕截图。
• 通过 OCR 程序运行屏幕截图
• 如果您能够以可预测的方式阅读您要查找的文本，那么您就成功了一半！

因此，现在如果您可以读取应用程序的 OCR 屏幕截图，那么只需编写一个执行以下操作的程序即可：

• 编写脚本以获取屏幕上的数据的步骤
• 创建相关数据的屏幕截图
• 运行它像 Microsoft Office Document Imaging 这样的 OCR 程序
• 提取相关文本并执行“任何操作” ' 与它。

我以前做过类似的事情，取得了很好的结果，但我想说这是一个脆弱的解决方案。如果应用程序发生更改，它将停止工作。如果 OCR 无法读取文本，它将停止工作。如果 OCR 读取了错误的文本，它可能会做比停止工作更糟糕的事情......

正如其他海报所说，进入内存并提取数据是一个非常高级的主题......如果你能找出一个这样做的方法！

Answer 5

我知道由于该软件用途的性质，这可能不是一个受欢迎的答案，但是像 CheatEngine 和 ArtMoney 允许您搜索进程为给定值保留的所有内存，然后优化结果直到找到您要查找的值的地址。

我最初是在遇到其中一个游戏的培训师后尝试学习如何更好地保护我的游戏时学到这一点的，但发现该技术在调试时偶尔有用。

以下是上述技术的使用示例：https://www.youtube .com/watch?v=Nv04gYx2jMw&t=265