Дамп памяти чужого процесса

[mss]

Цитата:

Где я налажал?

Код:

GB4 = 1073741824; //азмер в байтах

С какой луны к тебе свалилась эта цифирь "1073741824" ?)

Цитата:

по хоже мне надо понять различие между @, Pointer и ^

Эт точно - "по хоже")

[Человек_Борща]

Цитата:

Сообщение от mss

Код:

GB4 = 1073741824; //азмер в байтах

С какой луны к тебе свалилась эта цифирь "1073741824" ?)

Ну как с какой?

Цитата:

Сообщение от mss

....... Инкрементируешь базовый адрес региона на размер региона и если не вышел за пределы 4гб (для Win32) - повторяешь вышеописанные телодвижения.

или 1 гб уже не равен 1073741824 байтам? ; там мой фэил=) нужно ведь 4294967296 байт.

[mss]

Удивись - никакие хитромудрые расчеты "сколько байт в 4-х гигабайтах" вовсе и не нужны)

Более того, код, где не фигурирует "скока байт в стольки-то гигабайтах", без допила будет работать и в Win64

Код:

BaseAddr := 0;
repeat
  try
    Win[32|64]Check(VirtualQueryEx(...., Pointer(BaseAddr), ...); 
    ...

    Inc(BaseAddr, MBO.RegionSize);
  except
    Break;
  end;  
until BaseAddr = 0;

[GunSmoker]

Цитата:

Еррор:
[299] ReadProcMem: Запрос ReadProcessMemory или WriteProcessMemory был выполнен только частично

Где я налажал?

Навскидку две вещи:
1. Нет проверки на доступ к памяти. Read access может не быть.
2. Память в программе может активно выделяться/освобождаться, что значит, что между проверкой и чтением память у тебя могут выдернуть.

Рекомендую глянуть VMMap-ом снимок процесса и сравнить со своим - на каком адресе спотыкается, а там смотреть в чём косяк.

[Человек_Борща]

Цитата:

2. Память в программе может активно выделяться/освобождаться, что значит, что между проверкой и чтением память у тебя могут выдернуть.

Код:

  hProcess := OpenProcess(PROCESS_QUERY_INFORMATION or PROCESS_VM_OPERATION or PROCESS_VM_READ, False, GetCurrentProcessId);
  try
    //Читаю с 0 адреса
   BaseAddr:=0;
   RecivedBytes:=0;
   //Если процесс открыт
    if hProcess <> 0 then
    begin
      //Создаём класс записи нашего дампа
      fs := TFileStream.Create(ExtractFilePath(ParamStr(0)) + 'SelfDump.pmd', fmCreate or fmOpenWrite);
      try
        //Читаем страницы памяти
        while VirtualQueryEx(hProcess, @(BaseAddr), MBI, SizeOf(MBI)) <> 0 do
        begin
          //Если страница достукпна и не защищена
          if (MBI.State = MEM_COMMIT) then
          begin
            try
              //выделяем память для буфера равный размеру региона
              GetMem(Buff, MBI.RegionSize);
              //Читаем
              if ReadProcessMemory(hProcess, @MBI.BaseAddress, Pointer(Buff), MBI.RegionSize, RecivedBytes) then
              begin
                //Записываем буфера размером прочитанных байт
                FS.Write(Buff, RecivedBytes);
              end
              else
              begin
                Memo1.Lines.Add(Format('[%d] ReadProcMem: %s ', [GetLastError, SysErrorMessage(GetLastError)]));
                Exit;
              end;
            finally
              FreeMem(Buff);
            end;

в смысле так? :D

[Crystallon]

Как же замечательно когда велосипед кто-то изобрел до тебя а тебе остается только сесть на него и поехать xD
http://www.programmersforum.ru/showp...61&postcount=8
Ф-я(ну или процедуру, без разницы) работает идеально и оч быстро) всем советую ^_^

[GunSmoker]

Прекрасный пример этого.

Функция по ссылке неверно проверяет доступ к памяти. Отсутствие атрибута GUARD - это не гарантия наличия доступа.

Не говоря уже про ЧУДОВИЩНО кривую обработку ошибок.

Цитата:

в смысле так? :D

Нет. В смысле, если ReadProcessMemory провалился, то проверяем GetLastError на ту ошибку ("запрос выполнен частично") - какой, кстати, у неё код?

[Crystallon]

Цитата:

Прекрасный пример этого.

В моем случае это не так важно :D ну и в любом случае незнаю как вам а мне гораздо легче улучшить чужой велосипед который на ходу, чем с нуля делать свой.

[Человек_Борща]

Crystallon,

Цитата:

Как же замечательно когда велосипед кто-то изобрел до тебя а тебе остается только сесть на него и поехать xD
http://www.programmersforum.ru/showp...61&postcount=8
Ф-я(ну или процедуру, без разницы) работает идеально и оч быстро) всем советую ^_^

самое оригинально, что я этот метод нашёл, ещё до того как начал писать свой собственный.

GunSmoker,

Цитата:

[299] ReadProcMem: Запрос ReadProcessMemory или WriteProcessMemory был выполнен только частично

[Человек_Борща]

Цитата:

Сообщение от Crystallon

В моем случае это не так важно :D ну и в любом случае незнаю как вам а мне гораздо легче улучшить чужой велосипед который на ходу, чем с нуля делать свой.

Сразу видно что серьёзных программ вы ещё не неписали.

Улучшать чей-то велосипед намного сложнее, особенно тогда, когда не знаешь как он работает

А создавать свой собственный куда проще