Поиск строки в памяти процесса

[Alexan-Dwer]

Ищу строку в программе, с заголовком окна Form1. В результате, ничего не находит, хотя программа с таким окном открыта, и в ней есть переменная AnsiString = 'test'.

Код:

Код:

procedure FindMemInProc;
var
ProcessID, Addr, BytesRead: DWord;
ProcessHandle: THandle;
Mbi: TMemoryBasicInformation;
Buf: PChar;
begin
//
ProcessHandle := FindWindow(nil, PChar('Form1'));

//
GetWindowThreadProcessId(ProcessHandle, @ProcessID);

//
ProcessHandle := OpenProcess(PROCESS_QUERY_INFORMATION or PROCESS_ALL_ACCESS or PROCESS_VM_OPERATION, false, ProcessID);

//
if ProcessHandle <> 0 then
try
Addr := 0;

//
while VirtualQueryEx(ProcessHandle, Pointer(Addr), Mbi, SizeOf(Mbi)) <> 0 do
begin
//
if (Mbi.State = MEM_COMMIT) and not ((Mbi.Protect and PAGE_GUARD) = PAGE_GUARD) then
begin
//
GetMem(Buf, Mbi.RegionSize);

try
//
if ReadProcessMemory(ProcessHandle, Mbi.BaseAddress, Buf, Mbi.RegionSize, BytesRead) then
begin
//
if Pos('test', Buf) > 0 then
//
ShowMessage('$' + IntToHex(Integer(Cardinal(Mbi.BaseAddress)), 8));
end;

finally
FreeMem(Buf);
end;

end;
Addr := Addr + Mbi.RegionSize;
end;

finally
CloseHandle(ProcessHandle);
end;

end;

Подскажите, с чем это может быть связано?

[Пепел Феникса]

а вы отладкой не проходили?

поищее у вас первая же итерация выйдет из цикла и никакого сканирования не будет.
память процесса не занята целиком, посмотрите в том же ArtMoney или CheatEngine карту процесса.
вам надо получать список областей памяти и уже их сканировать.

+ у вас ошибка работы с памятью. память не является строкой, и Pos к ней не подойдет.

PS: перенес вашу тему, тут явно уже не паскаль

[Alexan-Dwer]

Цитата:

у вас первая же итерация выйдет из цикла и никакого сканирования не будет.
память процесса не занята целиком, посмотрите в том же ArtMoney или CheatEngine карту процесса.
вам надо получать список областей памяти и уже их сканировать.

Поэтому я использую VirtualQueryEx с проверками.

Цитата:

вас ошибка работы с памятью. память не является строкой, и Pos к ней не подойдет.

Да, не правильно посмотрел что возвращается в буфер. Там адреса находятся, а я посчитал что данные. Поэтому, нужно использовать преобразование к PChar передав @Buf с проверяемым индексом: PChar(@Buf[i])^. А дальше, сравнивать получаемые символы с искомой строкой.

[Пепел Феникса]

Цитата:

Да, не правильно посмотрел что возвращается в буфер. Там адреса находятся, а я посчитал что данные. Поэтому, нужно использовать преобразование к PChar передав @Buf с проверяемым индексом: PChar(@Buf[i])^. А дальше, сравнивать получаемые символы с искомой строкой.

с буфером все нормально.
просто вы трактуете буфер как одну большую строку, а он ей не является.
если страница окажется забита вся(не будет иметь нулевые символы в себе), ваш Pos вылетит в AV, ибо терминал это #0 для таких строк.
если в буфере будет несколько строк, он опять же дойдет лишь до первого #0, и все.

ну кстати, странно работать с PChar, ища AnsiString

[Alexan-Dwer]

Цитата:

странно работать с PChar, ища AnsiString

Чем? PChar или PAnsiChar разницы нет.

Если вопрос в разбиении строки на символы, то мне так проще. Есть возможность отлаживать, просматривая, какие строки поиск подцепляет ещё.

Про, PChar(@Buf[i])^ да, оставил сейчас просто Buf[i], для получения символа по индексу работает...

[Пепел Феникса]

размер у них разный.

Цитата:

Про, PChar(@Buf[i])^ да, оставил сейчас просто Buf[i], для получения символа по индексу работает...

индекс работать будет.

но повторю третий раз, память не является строкой.
кусок памяти да, но не произвольный.
покажу наглядно
00 00 00 00 8F 7F 01 00 00 00 00 00 80 7B 01 00.
допустим вы выцепили такой кусок памяти.(это хекс если что)
и допустим вы ищете этот самый(8F 7F 01).
из-за того что вы трактуете памяти как PChar/PAnsiChar строка считается до первого нуля, то есть 00 00/00.
итого никакого поиска нет.

если так хотите поучится посмотрите исходники CheatEngine.

или на край, если хотите работать со строками, то работайте с ними полноценно, а не с указателем на символ PChar/PAnsiChar, у которых признак конца это символ #0.
хотя тут конечно есть нюанс реализации Pos(для полноценных строк я ее не помню, тормозит оно на длине или на нуле все же)
а прочитать все внутрь AnsiString проблем нет

[Alexan-Dwer]

Пепел Феникса, я может Вас не правильно понимаю, или не правильно объяснил, как я выполняю действия.

Есть кусок в памяти:
Buf = 00 00 00 00 54 65 73 74 00 00 00 00 00 80 7B 01 00.

Я ищу строку S = 'Test'.

Делаю примерно так:

Код:

...

FindResult:=True;

...

// k = (количество байт памяти в текущем буфере) - 1
for i:=0 to k do
//
if Buf[i] = 'T' then
// l = Length(S) - 1;
j:=1 to l do
//
if Buf[i + j] <> S[j + 1] then FindResult:=False;

Первый цикл у меня repeat, а не for, чтобы можно было i изменить, и перескочить проверенные символы...

Разве такой способ является некорректным? Возможно я на самом деле что-то не понимаю, так как с памятью и указателями обычно редко приходится сталкиваться...

[Пепел Феникса]

в вашем первом коде есть только стандартная Pos.

так, в принципе и нужно, искать первый символ, следующий за ним должен быть второй и тп.