类_内存，不支持64位程序

帅气与大侠

近期读写内存，目标对象为64位应用，发现模块中的类_内存，并不支持64位程序的读写操作
自己封装了两个子程序，支持64位程序内存读写
今后对于64位程序的内存读写应该会越来越普及，精易模块看看是否需要
以下是源码例子
dome.e (749.34 KB, 下载次数: 142)

2019-7-4 00:08 上传

点击文件名下载附件
下载积分: 精币 -2 枚

  

子程序名	返回值类型	公开	备 注
读内存表达式_字节集	字节集		成功返回字节集数据，如果失败返回空字节集。不同类型的内存值可用 取字节集数据(字节集，#整数型) 取得对应的内存值。
参数名	类 型	参考	可空	数组	备 注
PID	整数型				进程PID
表达式地址	文本型				如：141FF33E8+170+7EC
读入长度	长整数型				4，一般内存地址都是4个字节为一个地址{xxx,xxx,xxx,xxx}

变量名	类 型	静态	数组	备 注
分割的文本	文本型		0
成员数	整数型
n	整数型
进程句柄	整数型
返回字节集	字节集
指针	长整数型
地址	长整数型

分割的文本 ＝ 分割文本 (表达式地址, “+”, )
成员数 ＝ 取数组成员数 (分割的文本)
计次循环首 (成员数, n)
判断 (n ＝ 成员数)
进程句柄 ＝ OpenProcess (2035711, 0, PID)
返回字节集 ＝ 取空白字节集 (读入长度)
地址 ＝ 进制_十六到十 (分割的文本 [n])
指针 ＝ 指针 ＋ 地址
读内存_字节集 (进程句柄, 指针, 返回字节集, 读入长度, 0)
CloseHandle (进程句柄)
返回 (返回字节集)



进程句柄 ＝ OpenProcess (2035711, 0, PID)  ' 打开进程，返回进程句柄，每次打开都回返回不同句柄
返回字节集 ＝ 取空白字节集 (读入长度)  ' 得先初始化，不然读内存传参不过来
地址 ＝ 进制_十六到十 (分割的文本 [n])
指针 ＝ 指针 ＋ 地址
读内存_字节集 (进程句柄, 指针, 返回字节集, 读入长度, 0)
CloseHandle (进程句柄)  ' 读完一次内存，及时关闭进程句柄，防止对象没关闭照成程序崩溃
指针 ＝ 取字节集数据 (返回字节集, #整数型, )  ' 有偏移的内存地址，中间过程都是返回地址的，所以要取出字节集数据，得到偏移后的指针
如果真 (指针 ＝ 0)  ' 通常指针为0就是取不出来了
调试输出 (分割的文本 [n], 指针, n, “此处失败”)
返回 ({  })


计次循环尾 ()
返回 ({  })

子程序名	返回值类型	公开	备 注
写内存表达式_字节集	整数型		写内存字节集，失败返回-1，成功非-1
参数名	类 型	参考	可空	数组	备 注
PID	整数型				进程PID
表达式地址	文本型				如：141FF33E8+170+7EC
写入长度	长整数型				4，一般内存地址都是4个字节为一个地址{xxx,xxx,xxx,xxx}
写入数据	字节集				用法：如果写入整数型数据→到字节集(123) 文本型数据→到字节集（“123”）。

变量名	类 型	静态	数组	备 注
分割的文本	文本型		0
成员数	整数型
n	整数型
进程句柄	整数型
返回字节集	字节集
指针	长整数型
地址	长整数型
结果	整数型

分割的文本 ＝ 分割文本 (表达式地址, “+”, )
成员数 ＝ 取数组成员数 (分割的文本)
计次循环首 (成员数, n)
判断 (n ＝ 成员数)
进程句柄 ＝ OpenProcess (2035711, 0, PID)
返回字节集 ＝ 取空白字节集 (写入长度)
地址 ＝ 进制_十六到十 (分割的文本 [n])
指针 ＝ 指针 ＋ 地址
结果 ＝ 写内存_字节集 (进程句柄, 指针, 写入数据, 写入长度, 0)
CloseHandle (进程句柄)
返回 (结果)



进程句柄 ＝ OpenProcess (2035711, 0, PID)  ' 打开进程，返回进程句柄，每次打开都回返回不同句柄
返回字节集 ＝ 取空白字节集 (写入长度)  ' 得先初始化，不然读内存传参不过来
地址 ＝ 进制_十六到十 (分割的文本 [n])
指针 ＝ 指针 ＋ 地址
读内存_字节集 (进程句柄, 指针, 返回字节集, 写入长度, 0)
CloseHandle (进程句柄)  ' 读完一次内存，及时关闭进程句柄，防止对象没关闭照成程序崩溃
指针 ＝ 取字节集数据 (返回字节集, #整数型, )  ' 有偏移的内存地址，中间过程都是返回地址的，所以要取出字节集数据，得到偏移后的指针
如果真 (指针 ＝ 0)  ' 通常指针为0就是取不出来了
调试输出 (分割的文本 [n], 指针, n, “此处失败”)
返回 (-1)


计次循环尾 ()
返回 (-1)

DLL命令名	返回值类型	公开	备 注
读内存_字节集	整数型
DLL库文件名:
ntdll.dll
在DLL库中对应命令名:
ZwWow64ReadVirtualMemory64
参数名	类 型	传址	数组	备 注
ProcessHandle	整数型			对象句柄
BaseAddress	长整数型			内存地址
Buffer	字节集			返回缓冲区
BufferSize	长整数型			写入大小
NumberOfBytesRead	长整数型			实际写入大小

DLL命令名	返回值类型	公开	备 注
写内存_字节集	整数型
DLL库文件名:
ntdll.dll
在DLL库中对应命令名:
ZwWow64WriteVirtualMemory64
参数名	类 型	传址	数组	备 注
ProcessHandle	整数型			对象句柄
BaseAddress	长整数型			内存地址
Buffer	字节集			返回缓冲区
BufferSize	长整数型			写入大小
NumberOfBytesRead	长整数型			实际写入大小

i支持库列表	支持库注释
spec	特殊功能支持库

.版本 2<br /> .支持库 spec<br /> <br /> .子程序 读内存表达式_字节集, 字节集, , 成功返回字节集数据，如果失败返回空字节集。不同类型的内存值可用 取字节集数据(字节集，#整数型) 取得对应的内存值。<br /> .参数 PID, 整数型, , 进程PID<br /> .参数 表达式地址, 文本型, , 如：141FF33E8+170+7EC<br /> .参数 读入长度, 长整数型, , 4，一般内存地址都是4个字节为一个地址{xxx,xxx,xxx,xxx}<br /> .局部变量 分割的文本, 文本型, , "0"<br /> .局部变量 成员数, 整数型<br /> .局部变量 n, 整数型<br /> .局部变量 进程句柄, 整数型<br /> .局部变量 返回字节集, 字节集<br /> .局部变量 指针, 长整数型<br /> .局部变量 地址, 长整数型<br /> <br /> 分割的文本 ＝ 分割文本 (表达式地址, “+”, )<br /> 成员数 ＝ 取数组成员数 (分割的文本)<br /> <br /> .计次循环首 (成员数, n)<br /> <br />     .判断开始 (n ＝ 成员数)<br />         进程句柄 ＝ OpenProcess (2035711, 0, PID)<br />         返回字节集 ＝ 取空白字节集 (读入长度)<br />         地址 ＝ 进制_十六到十 (分割的文本 [n])<br />         指针 ＝ 指针 ＋ 地址<br />         读内存_字节集 (进程句柄, 指针, 返回字节集, 读入长度, 0)<br />         CloseHandle (进程句柄)<br />         返回 (返回字节集)<br /> <br />     .默认<br /> <br />         进程句柄 ＝ OpenProcess (2035711, 0, PID)  ' 打开进程，返回进程句柄，每次打开都回返回不同句柄<br />         返回字节集 ＝ 取空白字节集 (读入长度)  ' 得先初始化，不然读内存传参不过来<br />         地址 ＝ 进制_十六到十 (分割的文本 [n])<br />         指针 ＝ 指针 ＋ 地址<br /> <br />         读内存_字节集 (进程句柄, 指针, 返回字节集, 读入长度, 0)<br />         CloseHandle (进程句柄)  ' 读完一次内存，及时关闭进程句柄，防止对象没关闭照成程序崩溃<br />         指针 ＝ 取字节集数据 (返回字节集, #整数型, )  ' 有偏移的内存地址，中间过程都是返回地址的，所以要取出字节集数据，得到偏移后的指针<br />         .如果真 (指针 ＝ 0)  ' 通常指针为0就是取不出来了<br />             调试输出 (分割的文本 [n], 指针, n, “此处失败”)<br />             返回 ({  })<br />         .如果真结束<br /> <br />     .判断结束<br /> <br /> .计次循环尾 ()<br /> 返回 ({  })<br /> <br /> .子程序 写内存表达式_字节集, 整数型, , 写内存字节集，失败返回-1，成功非-1<br /> .参数 PID, 整数型, , 进程PID<br /> .参数 表达式地址, 文本型, , 如：141FF33E8+170+7EC<br /> .参数 写入长度, 长整数型, , 4，一般内存地址都是4个字节为一个地址{xxx,xxx,xxx,xxx}<br /> .参数 写入数据, 字节集, , 用法：如果写入整数型数据→到字节集(123) 文本型数据→到字节集（“123”）。<br /> .局部变量 分割的文本, 文本型, , "0"<br /> .局部变量 成员数, 整数型<br /> .局部变量 n, 整数型<br /> .局部变量 进程句柄, 整数型<br /> .局部变量 返回字节集, 字节集<br /> .局部变量 指针, 长整数型<br /> .局部变量 地址, 长整数型<br /> .局部变量 结果, 整数型<br /> <br /> 分割的文本 ＝ 分割文本 (表达式地址, “+”, )<br /> 成员数 ＝ 取数组成员数 (分割的文本)<br /> <br /> .计次循环首 (成员数, n)<br /> <br />     .判断开始 (n ＝ 成员数)<br />         进程句柄 ＝ OpenProcess (2035711, 0, PID)<br />         返回字节集 ＝ 取空白字节集 (写入长度)<br />         地址 ＝ 进制_十六到十 (分割的文本 [n])<br />         指针 ＝ 指针 ＋ 地址<br />         结果 ＝ 写内存_字节集 (进程句柄, 指针, 写入数据, 写入长度, 0)<br />         CloseHandle (进程句柄)<br />         返回 (结果)<br /> <br />     .默认<br /> <br />         进程句柄 ＝ OpenProcess (2035711, 0, PID)  ' 打开进程，返回进程句柄，每次打开都回返回不同句柄<br />         返回字节集 ＝ 取空白字节集 (写入长度)  ' 得先初始化，不然读内存传参不过来<br />         地址 ＝ 进制_十六到十 (分割的文本 [n])<br />         指针 ＝ 指针 ＋ 地址<br />         读内存_字节集 (进程句柄, 指针, 返回字节集, 写入长度, 0)<br />         CloseHandle (进程句柄)  ' 读完一次内存，及时关闭进程句柄，防止对象没关闭照成程序崩溃<br />         指针 ＝ 取字节集数据 (返回字节集, #整数型, )  ' 有偏移的内存地址，中间过程都是返回地址的，所以要取出字节集数据，得到偏移后的指针<br />         .如果真 (指针 ＝ 0)  ' 通常指针为0就是取不出来了<br />             调试输出 (分割的文本 [n], 指针, n, “此处失败”)<br />             返回 (-1)<br />         .如果真结束<br /> <br />     .判断结束<br /> <br /> .计次循环尾 ()<br /> 返回 (-1)<br /> <br /> .版本 2<br /> .DLL命令 读内存_字节集, 整数型, "ntdll.dll", "ZwWow64ReadVirtualMemory64"<br />     .参数 ProcessHandle, 整数型, , 对象句柄<br />     .参数 BaseAddress, 长整数型, , 内存地址<br />     .参数 Buffer, 字节集, , 返回缓冲区<br />     .参数 BufferSize, 长整数型, , 写入大小<br />     .参数 NumberOfBytesRead, 长整数型, 传址, 实际写入大小<br /> .DLL命令 写内存_字节集, 整数型, "ntdll.dll", "ZwWow64WriteVirtualMemory64"<br />     .参数 ProcessHandle, 整数型, , 对象句柄<br />     .参数 BaseAddress, 长整数型, , 内存地址<br />     .参数 Buffer, 字节集, , 返回缓冲区<br />     .参数 BufferSize, 长整数型, , 写入大小<br />     .参数 NumberOfBytesRead, 长整数型, 传址, 实际写入大小

wnagjiuri233

支持开源~！感谢分享

zhoupan88

         支持开源~！感谢分享

天刀

aaaaaaaaaaaaaaa

bianyuan456

楼主有空的话，这个类_内存还有个搜索也不支持64位！能帮忙写一个搜索_64的方法么这是我的bug反馈贴。。
https://125.confly.eu.org/forum.php?mod=viewthread&tid=14797286

hnpei

大佬厉害,就是来找你的。

xzytoy007

怎么用啊

xzytoy007

看看能不能用了

wyc666

几乎覆盖监控韩国结婚后就

phuai007

指针 ＝ 指针 ＋ 地址  这里有问题，当读取到的长整数足够大（长度为19位数）的时候，这个计算结果会有偏差，导致所有地址都有问题。可以用古剑奇谭网络版测试就知道了，需要用大数方法相加