如何访问一个进程的内存空间

　　在WIN32中，每个应用程序都可“看见”4GB的线性地址空间，其中最开始的

　　4MB和最后的2GB由操作系统保留，剩下不足2GB的空间用于应用程序私有空间。

　　具体分配如下：0xFFFFFFFF-0xC0000000的1GB用于VxD、存储器管理和文件系统；

　　0xBFFFFFFF-0x80000000的1GB用于共享的WIN32 DLL、存储器映射文件和共享存

　　储区；0x7FFFFFFF-0x00400000为每个进程的WIN32专用地址；0x003FFFFF-

　　0x00001000为MS-DOS 和 WIN16应用程序；0x00000FFF-0x00000000为防止使用

　　空指针的4,096字节。以上都是指逻辑地址，也就是虚拟内存。

　　虚拟内存通常是由固定大小的块来实现的，在WIN32中这些块称为“页”，

　　每页大小为4,096字节。在Intel CPU结构中，通过在一个控制寄存器中设置一位

　　来启用分页。启用分页时CPU并不能直接访问内存，对每个地址要经过一个映射

　　进程，通过一系列称作“页表”的查找表把虚拟内存地址映射成实际内存地址。

　　通过使用硬件地址映射和页表WIN32可使虚拟内存即有好的性能而且还提供保护。

　　利用处理器的页映射能力，操作系统为每个进程提供独立的从逻辑地址到物理地

　　址的映射，使每个进程的地址空间对另一个进程完全不可见。WIN32中也提供了

　　一些访问进程内存空间的函数，但使用时要谨慎，一不小心就有可能破坏被访问

　　的进程。本文介绍如何读另一个进程的内存，写内存与之相似，完善一下你也可

　　以做个 FPE 之类的内存修改工具。好吧，先准备好编程利器Delphi和 参考手

　　册 MSDN ，开始了!

　　ReadProcessMemory 读另一个进程的内存，原形如下：

　　BOOL ReadProcessMemory(

　　HANDLE hProcess, // 被读取进程的句柄；

　　LPCVOID lpBaseAddress, // 读的起始地址；

　　LPVOID lpBuffer, // 存放读取数据缓冲区；

　　DWORD nSize, // 一次读取的字节数；

　　LPDWORD lpNumberOfBytesRead // 实际读取的字节数；

　　);

　　hProcess 进程句柄可由OpenProcess 函数得到，原形如下：

　　HANDLE OpenProcess(

　　DWORD dwDesiredAccess, // 访问标志；

　　BOOL bInheritHandle, // 继承标志；

　　DWORD dwProcessId // 进程ID；

　　);

　　当然，用完别忘了用 CloseHandle 关闭打开的句柄。

　　读另一个进程的内存 dwDesiredAccess 须指定为 PROCESS_VM_READ ，

　　写另一个进程的内存 dwDesiredAccess 须指定为 PROCESS_VM_WRITE ，

　　继承标志无所谓，进程ID可由 Process32First 和 Process32Next 得到，

　　这两个函数可以枚举出所有开启的进程，这样进程的信息也就得到了。

　　Process32First 和 Process32Next是由 TLHelp32 单元提供的，需在

　　uses 里加上TLHelp32。ToolsHelp32 封装了一些访问堆、线程、进程等

　　的函数，只适用于Win9x，原形如下：

　　BOOL WINAPI Process32First(

　　HANDLE hSnapshot // 由 CreateToolhelp32Snapshot 返回

　　的系统快照句柄；

　　LPPROCESSENTRY32 lppe // 指向一个 PROCESSENTRY32 结构；

　　)；

　　BOOL WINAPI Process32Next(

　　HANDLE hSnapshot // 由 CreateToolhelp32Snapshot 返回

　　的系统快照句柄；

　　LPPROCESSENTRY32 lppe // 指向一个 PROCESSENTRY32 结构；

　　)；

　　hSnapshot 由 CreateToolhelp32Snapshot 返回的系统快照句柄；

　　CreateToolhelp32Snapshot 原形如下：

　　HANDLE WINAPI CreateToolhelp32Snapshot(

　　DWORD dwFlags, // 快照标志；

　　DWORD th32ProcessID // 进程ID；

　　);

　　现在需要的是进程的信息，所以将 dwFlags 指定为 TH32CS_SNAPPROCESS，

　　th32ProcessID 忽略；PROCESSENTRY32 结构如下：

　　typedef struct tagPROCESSENTRY32 {

　　DWORD dwSize; // 结构大小；

　　DWORD cntUsage; // 此进程的引用计数；

　　DWORD th32ProcessID; // 进程ID;

　　DWORD th32DefaultHeapID; // 进程默认堆ID；

　　DWORD th32ModuleID; // 进程模块ID；

　　DWORD cntThreads; // 此进程开启的线程计数；

　　DWORD th32ParentProcessID;// 父进程ID；

　　LONG pcPriClassBase; // 线程优先权；

　　DWORD dwFlags; // 保留；

　　char szExeFile[MAX_PATH]; // 进程全名；

　　} PROCESSENTRY32;

　　至此，所用到的主要函数已介绍完,实现读内存只要从下到上依次调用

　　上述函数即可，具体参见原代码：

　　procedure TForm1.Button1Click(Sender: TObject);

　　var

　　FSnapshotHandle:THandle;

　　FProcessEntry32:TProcessEntry32;

　　Ret : BOOL;

　　ProcessID : integer;

　　ProcessHndle : THandle;

　　lpBuffer:pByte;

　　nSize: DWORD;

　　lpNumberOfBytesRead: DWORD;

　　i:integer;

　　s:string;

　　begin

　　FSnapshotHandle:=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);

　　//创建系统快照

　　FProcessEntry32.dwSize:=Sizeof(FProcessEntry32);

　　//先初始化 FProcessEntry32 的大小

　　Ret:=Process32First(FSnapshotHandle,FProcessEntry32);

　　while Ret do

　　begin

　　s:=ExtractFileName(FProcessEntry32.szExeFile);

　　if s='KERNEL32.DLL' then

　　begin

　　ProcessID:=FProcessEntry32.th32ProcessID;

　　s:=';

　　break;

　　end;

　　Ret:=Process32Next(FSnapshotHandle,FProcessEntry32);

　　end;

　　//循环枚举出系统开启的所有进程，找出“Kernel32.dll”

　　CloseHandle(FSnapshotHandle);

　　Memo1.Lines.Clear ;

　　memo1.lines.add('Process ID '+IntToHex(FProcessEntry32.th32ProcessID,8));

　　memo1.lines.Add('File name '+FProcessEntry32.szExeFile);

　　////输出进程的一些信息

　　nSize:=4;

　　lpBuffer:=AllocMem(nSize);

　　ProcessHndle:=OpenProcess(PROCESS_VM_READ,false,ProcessID);

　　memo1.Lines.Add ('Process Handle '+intTohex(ProcessHndle,8));

　　for i:=$00800001 to $0080005f do

　　begin

　　ReadProcessMemory(

　　ProcessHndle,

　　Pointer(i),

　　lpBuffer,

　　nSize,

　　lpNumberOfBytesRead

　　);

　　s:=s+intTohex(lpBuffer^,2)+' ';

　　//读取内容

　　if (i mod 16) =0 then

　　begin

　　Memo1.Lines.Add(s);

　　s:=';

　　end;

　　//格式化输出

　　end;

　　FreeMem(lpBuffer,nSize);

　　CloseHandle(ProcessHndle);

　　//关闭句柄，释放内存

　　end;

　　以上程序在 Delphi4 中文Win98 下调试通过。