7.1 实现进程内存块枚举

这篇具有很好参考价值的文章主要介绍了7.1 实现进程内存块枚举。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Windows操作系统中,每个进程的虚拟地址空间都被划分为若干内存块,每个内存块都具有一些属性,如内存大小、保护模式、类型等。这些属性可以通过VirtualQueryEx函数查询得到。

该函数可用于查询进程虚拟地址空间中的内存信息的函数。它的作用类似于Windows操作系统中的Task Manager中的进程选项卡,可以显示出一个进程的内存使用情况、模块列表等信息。使用VirtualQueryEx函数,可以枚举一个进程的所有内存块。该函数需要传入要查询的进程的句柄、基地址和一个MEMORY_BASIC_INFORMATION结构体指针。它会返回当前内存块的基地址、大小、状态(free/commit/reserve)、保护模式等信息。

在实现对内存块的枚举之前,我们先通过ReadProcessMemory函数实现一个内存远程内存读取功能,如下代码所示,首先,通过OpenProcess函数打开进程句柄,获得当前进程的操作权限。然后,调用EnumMemory函数,传入进程句柄以及起始地址和终止地址参数,依次读取每一页内存,通过循环打印其内存数据。

#include <iostream>
#include <windows.h>

// 枚举内存实现
void EnumMemory(HANDLE Process, DWORD BeginAddr, DWORD EndAddr)
{
  // 每次读入长度
  const DWORD pageSize = 1024;

  BYTE page[pageSize];
  DWORD tmpAddr = BeginAddr;
  while (tmpAddr <= EndAddr)
  {
    ReadProcessMemory(Process, (LPCVOID)tmpAddr, &page, pageSize, 0);
    for (int x = 0; x < pageSize; x++)
    {
      if (x % 15 == 0)
      {
        printf("| 0x%08X \n", tmpAddr + x);
      }
      printf("0x%02X ", page[x]);
    }
    tmpAddr += pageSize;
  }
}

int main(int argc, char* argv[])
{
  HANDLE process;

  // 打开当前进程
  process = OpenProcess(PROCESS_ALL_ACCESS, false, GetCurrentProcessId());

  // 枚举内存 从0x401000 - 0x7FFFFFFF
  EnumMemory(process, 0x00401000, 0x7FFFFFFF);

  system("pause");
  return 0;
}

上述代码简单明了,易于理解,但并没有实现过滤特定内存属性的功能。如果需要对特定类型的内存进行分析,需要结合VirtualQueryEx函数实现内存属性的查询和过滤。

7.1 实现进程内存块枚举

接着我们进入本章的重点,实现枚举进程内存块,要实现该功能首先读者必须要了解一个结构体_SYSTEM_INFO该结构体是系统信息结构,可用于存储系统硬件和系统配置信息,而我们所需要的内存块数据同样可以使用该结构进行存储。

根据具体需求,可以通过调用GetSystemInfo函数来获得_SYSTEM_INFO结构体的信息。GetSystemInfo函数可以返回系统的硬件信息,包括有多少个处理器,每个处理器有多少个核心,系统页大小等信息,该结构体的定义如下所示;

    typedef struct _SYSTEM_INFO {
      union {
      DWORD dwOemId;                          // 兼容性保留
      struct {
        WORD wProcessorArchitecture;          // 操作系统处理器体系结构
        WORD wReserved;                       // 保留
      } DUMMYSTRUCTNAME;
      } DUMMYUNIONNAME;
      DWORD     dwPageSize;                   // 页面大小和页面保护和承诺的粒度
      LPVOID    lpMinimumApplicationAddress;  // 指向应用程序和dll可访问的最低内存地址的指针
      LPVOID    lpMaximumApplicationAddress;  // 指向应用程序和dll可访问的最高内存地址的指针
      DWORD_PTR dwActiveProcessorMask;        // 处理器掩码
      DWORD     dwNumberOfProcessors;         // 当前组中逻辑处理器的数量
      DWORD     dwProcessorType;              // 处理器类型,兼容性保留
      DWORD     dwAllocationGranularity;      // 虚拟内存的起始地址的粒度
      WORD      wProcessorLevel;              // 处理器级别
      WORD      wProcessorRevision;           // 处理器修订
    } SYSTEM_INFO, *LPSYSTEM_INFO;

接着就是要查询内存块的状态了,我们可通过VirtualQueryEx函数实现查询进程虚拟地址空间中的内存信息,其原型定义如下:

SIZE_T VirtualQueryEx(
  HANDLE                    hProcess,
  LPCVOID                   lpAddress,
  PMEMORY_BASIC_INFORMATION lpBuffer,
  SIZE_T                    dwLength
);

参数说明:

  • hProcess:进程句柄。需要查询的进程的句柄
  • lpAddress:基地址。需要查询的内存块的基地址
  • lpBuffer:内存信息缓冲区。 PMEMORY_BASIC_INFORMATION 结构指针,用于存储查询结果。它包含了取得的内存块信息,如基地址、保护属性、状态、大小等
  • dwLength:缓冲区大小。缓冲区的大小,以字节为单位。如果缓冲区太小,则函数将返回指定的内存块信息长度存放到此处,不会写入完整的信息

该函数返回实际填充到缓冲区中的字节数。如果函数失败,则返回0。当我们需要了解特定进程的内存使用情况时,可以使用VirtualQueryEx()函数枚举进程内存中的所有内存块,并按需查询其中的属性值。

#include <iostream>
#include <windows.h>
#include <Psapi.h>

#pragma comment(lib,"psapi.lib")

// 枚举特定进程内存块信息
VOID ScanProcessMemory(HANDLE hProc)
{
  SIZE_T stSize = 0;
  PBYTE pAddress = (PBYTE)0;
  SYSTEM_INFO sysinfo;
  MEMORY_BASIC_INFORMATION mbi = { 0 };

  //获取页的大小
  ZeroMemory(&sysinfo, sizeof(SYSTEM_INFO));
  GetSystemInfo(&sysinfo);

  // 得到的镜像基地址
  pAddress = (PBYTE)sysinfo.lpMinimumApplicationAddress;

  printf("------------------------------------------------------------------------ \n");
  printf("开始地址 \t 结束地址 \t 大小 \t 状态 \t 内存类型 \t 页面属性 \n");
  printf("------------------------------------------------------------------------ \n");
  
  // 判断只要当前地址小于最大地址就循环
  while (pAddress < (PBYTE)sysinfo.lpMaximumApplicationAddress)
  {
    // 对结构体进行初始化
    ZeroMemory(&mbi, sizeof(MEMORY_BASIC_INFORMATION));

    // 查询内存属性
    stSize = VirtualQueryEx(hProc, pAddress, &mbi, sizeof(MEMORY_BASIC_INFORMATION));

    if (stSize == 0)
    {
      pAddress += sysinfo.dwPageSize;
      continue;
    }

    // 输出查询结果
    printf("0x%08X \t 0x%08X \t %8d K \t ", mbi.BaseAddress, ((DWORD)mbi.BaseAddress + (DWORD)mbi.RegionSize), mbi.RegionSize >> 10);

    // 输出状态
    switch (mbi.State)
    {
      case MEM_FREE: printf("空闲 \t"); break;
      case MEM_RESERVE: printf("保留 \t"); break;
      case MEM_COMMIT: printf("提交 \t"); break;
      default: printf("未知 \t"); break;
    }

    // 输出类型
    switch (mbi.Type)
    {
      case MEM_PRIVATE:   printf("私有  \t"); break;
      case MEM_MAPPED:    printf("映射  \t"); break;
      case MEM_IMAGE:     printf("镜像  \t"); break;
      default: printf("未知  \t"); break;
    }

    if (mbi.Protect == 0)
    {
      printf("---");
    }
    else if (mbi.Protect & PAGE_EXECUTE)
    {
      printf("E--");
    }
    else if (mbi.Protect & PAGE_EXECUTE_READ)
    {
      printf("ER-");
    }
    else if (mbi.Protect & PAGE_EXECUTE_READWRITE)
    {
      printf("ERW");
    }
    else if (mbi.Protect & PAGE_READONLY)
    {
      printf("-R-");
    }
    else if (mbi.Protect & PAGE_READWRITE)
    {
      printf("-RW");
    }
    else if (mbi.Protect & PAGE_WRITECOPY)
    {
      printf("WCOPY");
    }
    else if (mbi.Protect & PAGE_EXECUTE_WRITECOPY)
    {
      printf("EWCOPY");
    }

    printf("\n");

    // 每次循环累加内存块的位置
    pAddress = (PBYTE)mbi.BaseAddress + mbi.RegionSize;
  }
}

int main(int argc, char* argv[])
{
  // 打开进程
  HANDLE hProc = OpenProcess(PROCESS_ALL_ACCESS, FALSE, GetCurrentProcessId());

  // 开始枚举
  ScanProcessMemory(hProc);
  CloseHandle(hProc);

  system("pause");
  return 0;
}

运行上述代码片段则首先通过GetCurrentProcessId()得到自身进程的PID号,接着通过调用ScanProcessMemory函数实现对自身进程内存块的枚举功能,最终输出如下图所示的效果;

7.1 实现进程内存块枚举

当然了虽然上述代码可以实现对内存块的枚举功能,但是在实际的开发场景中我们还是需要将枚举结果存储起来以便后期调用,此时我们可以考虑在全局定义vector容器,容器的属性为每一个内存块的MEMORY_BASIC_INFORMATION属性,当需要查询时只需要枚举这个容器并循环输出该容器内的数据即可,改进后的代码如下所示;

#include <Windows.h>
#include <vector>
#include <iostream>
#include <assert.h>

using namespace std;

// 枚举指定进程所有内存块
static bool ScanProcessMemory(HANDLE hProcess, OUT vector<MEMORY_BASIC_INFORMATION>& memories)
{
  // 如果 hProcess 为空则结束运行
  assert(hProcess != nullptr);

  // 初始化容器并设置容量
  memories.clear();
  memories.reserve(200);

  // 获取 PageSize 和地址粒度
  SYSTEM_INFO sysInfo = { 0 };
  GetSystemInfo(&sysInfo);

  // 定义基本的内存结构
  const char* p = (const char*)sysInfo.lpMinimumApplicationAddress;
  MEMORY_BASIC_INFORMATION memInfo = { 0 };

  // 开始遍历内存
  while (p < sysInfo.lpMaximumApplicationAddress)
  {
    // 获取进程虚拟内存块缓冲区字节数
    size_t size = VirtualQueryEx(
      hProcess,                             // 进程句柄
      p,                                    // 要查询内存块的基地址指针
      &memInfo,                             // 接收内存块信息的 MEMORY_BASIC_INFORMATION 对象
      sizeof(MEMORY_BASIC_INFORMATION32)    // 缓冲区大小
      );

    if (size != sizeof(MEMORY_BASIC_INFORMATION32))
    {
      break;
    }

    // 将内存块信息追加到容器内
    memories.push_back(memInfo);

    // 移动指针
    p += memInfo.RegionSize;
  }

  // 容器大于0则返回
  return memories.size() > 0;
}

int main(int argc, char* argv[])
{
  // 存放进程内存块的数组
  vector<MEMORY_BASIC_INFORMATION> vec;

  // 打开自身进程
  HANDLE handle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, GetCurrentProcessId());

  // 遍历该进程的内存
  if (ScanProcessMemory(handle, vec))
  {
    printf("------------------------------------------------------------------------ \n");
    printf("开始地址 \t 结束地址 \t 大小 \t 状态 \t 内存类型 \t 页面属性 \n");
    printf("------------------------------------------------------------------------ \n");
    
    // 此处循环遍历结构
    for (int i = 0; i < vec.size(); i++)
    {
      printf("0x%08X \t 0x%08X \t %8d K \t ", vec[i].BaseAddress, ((DWORD)vec[i].BaseAddress + (DWORD)vec[i].RegionSize), vec[i].RegionSize >> 10);

      switch (vec[i].State)
      {
      case MEM_FREE: printf("空闲 \t"); break;
      case MEM_RESERVE: printf("保留 \t"); break;
      case MEM_COMMIT: printf("提交 \t"); break;
      default: printf("未知 \t"); break;
      }

      switch (vec[i].Type)
      {
      case MEM_PRIVATE: printf("私有  \t"); break;
      case MEM_MAPPED: printf("映射  \t"); break;
      case MEM_IMAGE: printf("镜像  \t"); break;
      default: printf("未知  \t"); break;
      }

      if (vec[i].Protect == 0)
      {
        printf("---");
      }
      else if (vec[i].Protect & PAGE_EXECUTE)
      {
        printf("E--");
      }
      else if (vec[i].Protect & PAGE_EXECUTE_READ)
      {
        printf("ER-");
      }
      else if (vec[i].Protect & PAGE_EXECUTE_READWRITE)
      {
        printf("ERW");
      }
      else if (vec[i].Protect & PAGE_READONLY)
      {
        printf("-R-");
      }
      else if (vec[i].Protect & PAGE_READWRITE)
      {
        printf("-RW");
      }
      else if (vec[i].Protect & PAGE_WRITECOPY)
      {
        printf("WCOPY");
      }
      else if (vec[i].Protect & PAGE_EXECUTE_WRITECOPY)
      {
        printf("EWCOPY");
      }
      printf("\n");
    }
  }
  system("pause");
  return 0;
}

读者可编译并自行运行上述代码,观察输出效果其与第一个案例中的效果保持一致,此处仅仅只是通过容器中转了参数传递,输出效果图如下所示;

7.1 实现进程内存块枚举

对于内存块中的范围区间同样可实现继续查询,例如在开始地址0x5DF00000-0x5DF01000这个内存区间内,可能灰灰划分为更多的子块,当Basicinfo.State内存属性中的子块属性为MEM_COMMIT时,我们还可以继续调用VirtualQuery函数对这个大内存块内的子内存块进行更加细致的解析效果,这段代码如下所示;

#include <iostream>
#include <Windows.h>

int main(int argc, char* argv[])
{
  DWORD Addres = 0, Size = 0;
  MEMORY_BASIC_INFORMATION Basicinfo = {};

  // 遍历进程所有分页, 输出内容
  while (VirtualQuery((LPCVOID)Addres, &Basicinfo, sizeof(MEMORY_BASIC_INFORMATION)))
  {
    Size = Basicinfo.RegionSize;

    printf("[+] 开始地址: 0x%08X \t 结束地址: 0x%08X \t 大小: %7d K \t 类型: ",
      Basicinfo.BaseAddress, ((DWORD)Basicinfo.BaseAddress + (DWORD)Basicinfo.RegionSize), Basicinfo.RegionSize >> 10);

    switch (Basicinfo.Type)
    {
    case MEM_PRIVATE:   printf("私有  \t"); break;
    case MEM_MAPPED:    printf("映射  \t"); break;
    case MEM_IMAGE:     printf("镜像  \t"); break;
    default:      printf("未知  \t"); break;
    }

    printf(" \t 状态: ");
    switch (Basicinfo.State)
    {
    case MEM_FREE:      printf("空闲 \n"); break;
    case MEM_RESERVE:   printf("保留 \n"); break;
    case MEM_COMMIT:    printf("提交 \n"); break;
    default:      printf("未知 \n"); break;
    }

    // 如果是提交状态的内存区域,那么遍历所有块中的信息
    if (Basicinfo.State == MEM_COMMIT)
    {
      // 遍历所有基址是 Address
      LPVOID BaseBlockAddress = (LPVOID)Addres;
      DWORD BlockAddress = Addres;
      DWORD dwBlockSize = 0;

      // 遍历大内存块中的小内存块
      while (VirtualQuery((LPVOID)BlockAddress, &Basicinfo, sizeof(Basicinfo)))
      {
        if (BaseBlockAddress != Basicinfo.AllocationBase)
        {
          break;
        }
        printf("[*] ---> 块地址: 0x%08X \t ", BlockAddress);
        // 查看内存状态,映射方式
        switch (Basicinfo.Type)
        {
        case MEM_PRIVATE:   printf("私有  \t "); break;
        case MEM_MAPPED:    printf("映射  \t "); break;
        case MEM_IMAGE:     printf("镜像  \t "); break;
        default:      printf("未知  \t "); break;
        }

        if (Basicinfo.Protect == 0)
          printf("---");
        else if (Basicinfo.Protect & PAGE_EXECUTE)
          printf("E--");
        else if (Basicinfo.Protect & PAGE_EXECUTE_READ)
          printf("ER-");
        else if (Basicinfo.Protect & PAGE_EXECUTE_READWRITE)
          printf("ERW");
        else if (Basicinfo.Protect & PAGE_READONLY)
          printf("-R-");
        else if (Basicinfo.Protect & PAGE_READWRITE)
          printf("-RW");
        else if (Basicinfo.Protect & PAGE_WRITECOPY)
          printf("WCOPY");
        else if (Basicinfo.Protect & PAGE_EXECUTE_WRITECOPY)
          printf("EWCOPY");
        printf("\n");

        // 计算所有相同块大小
        dwBlockSize += Basicinfo.RegionSize;
        // 累加内存块的位置
        BlockAddress += Basicinfo.RegionSize;
      }
      // 有可能大小为空
      Size = dwBlockSize ? dwBlockSize : Basicinfo.RegionSize;
    }
    // 下一个区域内存信息
    Addres += Size;
  }

  system("pause");
  return 0;
}

当上述代码运行后,我们就可以获取到当前内存中有多少个内存块,以及每一个内存块的属性信息,如下图所示;

7.1 实现进程内存块枚举文章来源地址https://www.toymoban.com/news/detail-710005.html

到了这里,关于7.1 实现进程内存块枚举的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 操作系统——MFC实现进程创建和通信2

    我接着上篇博客讲,如果没有构建项目的童鞋请移步到操作系统——MFC实现进程创建和通信1 实现进程通信的方法有很多,我们先用一个比较简单的方法实现一下。 window.postMessage() 方法可以安全地实现跨源通信。通常,对于两个不同页面的脚本,只有当执行它们的页面位于具

    2024年02月07日
    浏览(39)
  • 二、操作系统进程管理(10)——用信号量机制实现进程互斥、同步、前驱关系

        (1)分析并发进程的关键活动,划定临界区。(如对临界区资源打印机的访问就应放在临界区)     (2)设置互斥信号量mutex,初值为1。     (3)在临界区之前执行P(mutex)。      //即使用资源前先申请(P操作)     (4)在临界区之后执行V(mutex)。     (5)对不

    2023年04月08日
    浏览(40)
  • 操作系统进程调度算法的模拟实现(c语言版本)

            前言: 本文旨在分享如何使用c语言对操作系统中的部分进程调度算法进行模拟实现,以及算法描述的讲解, 完整代码放在文章末尾,欢迎大家自行拷贝调用 目录 常见的调度算法 数据结构 先来先服务调度算法 算法模拟思路: 算法模拟:  最短作业优先调度算法

    2024年02月06日
    浏览(53)
  • Windows 共享内存实现进程间通讯

    在 windows 中 使用 CreateFileMappingW , MapViewOfFile 函数实现共享内存的创建和挂载。 使用了 CreateEvent , CreateMutex 函数实现进程间的互斥通讯 具体介绍: MSDN CreateFileMappingW 具体介绍可以看上方的官方文档这里不过多赘述,不过有一点需要提一下。 CreateFileMapping函数有两种 1.CreateFi

    2024年02月16日
    浏览(45)
  • 操作系统动态内存分配算法【C语言实现】

    题目: 采用五个算法,各自作业在1024kB空间上分配情况。 内存可变分区分配仿真算法 :首次适应,下次适应,最佳适应,最坏适应和快速分配。 使用的结构体数组表示起始地址,内存块大小,内存块状态(0空闲,1占用) void bubbleprint(struct Info info[]) 函数是为了内存块大小

    2024年02月03日
    浏览(43)
  • 【操作系统】基于动态优先级的进程调度算法-C语言实现(有代码)

    本文章将会介绍如何编写动态优先级的进程调度算法,并使用从语言实现。 一、什么是动态优先级的调度算法        进程运行一个时间片后,如果进程已占用 CPU时间已达到所需要的运行时间,则撤消该进程;如果运行一个时间片后进程的已占用CPU时间还未达所需要的运行

    2024年02月06日
    浏览(49)
  • 操作系统——进程互斥的软件实现算法(王道视频p27、课本ch6)

    1.总结概览: 2.单标志[turn]法——算法代码: 可能违反“空闲让进” 3.双标志[flag[2]]先检查法——算法代码: 如果不能利用硬件的原语的话,就可能出现违反“忙则等待”的问题: 4.双标志[flag[2]]后检查法——算法代码: 可能会出现 资源死锁(违反“空闲让进”) 5.PeterSon算

    2024年02月07日
    浏览(39)
  • 【Linux操作系统】Linux中的进程和线程的概念、区别和实现的细节

    在Linux中,进程和线程是操作系统中两个重要的执行单位。它们是对程序运行时的抽象概念,用于管理和调度计算机资源。 进程是正在运行的程序的实例。它是操作系统分配资源和调度执行的基本单位。每个进程都有自己独立的内存空间,包含代码、数据、堆栈等。进程还包

    2024年02月14日
    浏览(52)
  • 实现时间片轮转算法(模拟)计算机操作系统实验5:进程调度算法模拟-RR

    实验内容: 实现时间片轮转算法(模拟),要求如下: 1、用到的数据结构 /* PCB / struct PCB { pid_t pid;//进程 PID int state; //状态信息,1 表示正在运行,0 表示暂停,-1 表示结束 unsigned long runned_time;//已运行时间 unsigned long need_running_time;//剩余运行时间 }; / PCB集合 */ struct PCB pcb[TOT

    2024年02月04日
    浏览(53)
  • 【C++】Windows下共享内存加信号量实现进程间同步通信

    目录 一,函数清单 1.CreateFileMapping 方法 2.OpenFileMapping 方法 3.MapViewOfFile 方法 4.UnmapViewOfFile 方法 5.CreateSemaphore 方法 6. OpenSemaphore 方法 7.WaitForSingleObject 方法 8.ReleaseSemaphore 方法 9.CloseHandle 方法 10.GetLastError 方法 二,单共享内存单信号量-进程间单向通信 共享内存管理文

    2024年02月08日
    浏览(40)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包