如何獲取進程的開始/基地址?按照實施例Solitaire.exe(solitaire.exe + BAFA8)Python - 如何獲取進程的開始/基地址?
#-*- coding: utf-8 -*-
import ctypes, win32ui, win32process
PROCESS_ALL_ACCESS = 0x1F0FFF
HWND = win32ui.FindWindow(None,u"Solitär").GetSafeHwnd()
PID = win32process.GetWindowThreadProcessId(HWND)[1]
PROCESS = ctypes.windll.kernel32.OpenProcess(PROCESS_ALL_ACCESS,False,PID)
print PID, HWND,PROCESS
我想計算的存儲器地址和用於這樣我需要solitaire.exe的基地址。
這裏是我的意思圖片:
我認爲GetModuleHandle返回的句柄實際上是給定模塊的基本地址。你通過傳遞NULL來獲得exe的句柄。
安裝pydbg
來源:這裏https://github.com/OpenRCE/pydbg
非官方的二進制文件:http://www.lfd.uci.edu/~gohlke/pythonlibs/#pydbg
from pydbg import *
from pydbg.defines import *
import struct
dbg = pydbg()
path_exe = "C:\\windows\\system32\\calc.exe"
dbg.load(path_exe, "-u amir")
dbg.debug_event_loop()
parameter_addr = dbg.context.Esp #(+ 0x8)
print 'ESP (address) ',parameter_addr
#attach not working under Win7 for me
#pid = raw_input("Enter PID:")
#print 'PID entered %i'%int(pid)
#dbg.attach(int(pid)) #attaching to running process not working
你可能想看看PaiMei,雖然現在不是很活躍https://github.com/OpenRCE/paimei
我無法得到tach()工作並使用加載代替。 Pydbg具有許多功能,如read_proccess_memory,write_process_memory等。
請注意,由於操作系統會保護進程(保護模式)中其他進程的內存,因此不能隨機更改內存。在x86處理器之前,有一些允許所有處理器以實模式運行,即爲每個程序完全訪問存儲器。非惡意軟件通常(總是?)不讀取/寫入其他進程的內存。
GetModuleHandle的HMDOULE值是加載模塊的基地址,可能是您需要計算偏移量的地址。
如果不是,該地址是模塊(DLL/EXE)的頭,可與dumpbin實用工具隨Visual Studio中顯示的開始,也可以使用Microsoft PE and COFF Specification確定AddressOfEntryPoint自己把它解釋和BaseOfCode作爲基地址的偏移量。如果模塊的基址不是您需要的,則可以選擇其中一個。
例子:
>>> BaseAddress = win32api.GetModuleHandle(None) + 0xBAFA8
>>> print '{:08X}'.format(BaseAddress)
1D0BAFA8
如果需要AddressOfEntryPoint或BaseOfCode,你將不得不使用調用ReadProcessMemory的PE規格定位偏差,或者只是使用dumpbin /headers solitaire.exe學習的偏移量以下。
我不知道你的意思其實是:程序入口的內存地址或exe文件的文件路徑? – Al2O3
@Rubby:程序入口的內存地址。但我不知道如何。與win32api.GetModuleHandle(無)的東西?當我發現地址,我必須添加一個靜態偏移量(0xBAFA8)==>來獲得一個新的地址... – Seppo