сканирование памяти

[neeble]

как просканировать память программы в поисках определеного значения
(типо как артмани)
известин хэндл окна
по нему узнаю pid процесса
потомм юзаю OpenProcess
а вот что дальше делать незнаю
наверное надо использовать readprocessmemory

но как использавать незнаю
интерисует все что надо делать после OpenProcess

зарание спс

[Larboss]

Код:

function GetAdrValue(h: hwnd; Addres: cardinal; ByteType: integer;
  var GetValue: integer): Boolean;
var
  PID, PH: cardinal;
  rw: cardinal;
  exec: Boolean;
begin
  exec := true;
  if h = 0 then
    exec := false;
  getwindowthreadprocessid(h, PID);
  PH := openprocess(process_all_access, false, PID);
  if PH = 0 then
    exec := false;
  if readprocessmemory(PH, ptr(Addres), @GetValue, ByteType, rw) = false then
    exec := false;
  closehandle(PH);
  result := exec;
end;

Доступно написан код?

[neeble]

да только я незнаю что такое exec но думаю гугл поможет
хотелось бы еще узнать подробне об том что в скобках (PH, ptr(Addres), @GetValue, ByteType, rw) но это тоже гугл должен помоч

rw - это то что я ищу в памяти?
ptr(Addres) это значит что я по всей памяти процесса ищу?

не наверное я непонял

а можно как небуть узнать деопазон адресов использумех ячеек памяти програмой
(первый и последние адреса ячеек которые используються програмой тогда бы я вставил бы вцикл
и увеличивал адрес на 1 и читал бы значение с этого адреса сравнивал бы с тем что ишу и если это совподает то записывал/выводил адрес этой ячейки и так пока недойду до последней ячейки памяти которую использует программа)

Зачем вы отвечаете с цитированием предыдущего поста ?
Вы не видите кнопку справа от кнопки "Цитата" ?
Или вам почему-то не видно пустое окно редактора под последним сообщением ?
За оверквотинг у нас штрафуют, имейте это ввиду.
Дабы не нарушать правила раздела, внимательно их почитайте:
http://programmersforum.ru/announcement.php?f=2
После 10 ваших сообщений начнете получать штрафы за нарушение правил...

[Larboss]

exec - результат функции, будет иметь значение True, если все прошло нормально.
PH - станет понятно, если посмотреть на пару строчек выше. То с чем будем работать, цель.
ptr(Addres) - Адрес, где будем читать значение в памяти целевого процесса.
@GetValue - Считанное значение по заданному адресу.
ByteType - тип байта, 1,2,4,8.
rw - сами посмотрите. Для этого есть MSDN.

[neeble]

мне несовсем это было нужно

ptr(Addres) - Адрес, где будем читать значение в памяти целевого
это то что мне надо найти т.е мне надо найти все адресса ячеек
которые содержат определеное значение

объясню на примере
есть праграмма блокнот
и я хочу найти адреса ячеек в каторых содержиться число 1234

вот думаю я понятно объяснил

[Larboss]

А гуглом пользоваться умеете? Давайте я поищу в гугле за вас? - http://tinyurl.com/3upthtq

PS. Знаки препинания по возможности ставьте, тяжко читать.

[GunSmoker]

Мат-часть сначала подтяните.

Чтобы не было "а что эти закорючки тут значат?"

http://www.transl-gunsmoker.ru/2009/09/blog-post.html
http://www.gunsmoker.ru/2011/04/windows.html

[neeble]

получаеться мне можно сделать простым перебором всех ячеек
памяти наченая с 00010000 (0000FFFF+1).
тока вот докакой ячейки переберать ведь наврятле приложение использует все 4 гига,
и зарезервированую память (насколько я понял зарезервированая память заполняеться нулями, можно поставить учловие после 1000 нулей прекращать поиск)

я думаю что можно получить инфармацию о процессе и там
будет указоно сколько мегабайт использует процесс,
перевести это количество в байты и сложить с 0000FFFF
так я получу последний адрес ячейки


я правельно понял?
если что то нетак укажите на мои ошибки

и еще один маленький вопросик

Код:

readprocessmemory(PH, ptr(Addres), @GetValue, ByteType, rw)

можно ли ptr(Addres) задавать в обычных числах (десятеричной системе)?

думаю эти вопросы касаються этой темы
и тут нет нарушений правил форума

[GunSmoker]

Определить статус страницы памяти можно через VirtualQuery.

Список занятых страниц не обязан быть непрерывным.

Цитата:

можно ли ptr(Addres) задавать в обычных числах (десятеричной системе)?

Машина не видит разницы между указателями, числами, буквами и рисунками. Для неё все данные - числа. Смысл числу задаёте только вы и информация типа.

[neeble]

Код:

procedure TForm1.goClick(Sender: TObject);
var
 findadr,nawadr,yess: Integer;

begin

  findadr:=strtoint(Edit1.Text);
 while (yess<>findadr) do
  begin
    nawadr:=staradr+1;
    ReadProcessMemory(hproc,nawadr,@yess, 4, BytesRead);
  end;
  adr.Caption:=IntToStr(yess);

end;

показавает ошибку ([Error] Unit1.pas(85): Incompatible types: 'Integer' and 'Pointer'
[Error] Unit1.pas(85): Undeclared identifier: 'BytesRead'
[Fatal Error] Project1.dpr(5): Could not compile used unit 'Unit1.pas'
) и ставит курсор перед @yess

что нетак я сделал?