Readprocessmemory使用方法

函数功能：该函数从指定的进程中读入内存信息，被读取的区域必须具有訪问权限。

函数原型：BOOL ReadProcessMemory(HANDLE hProcess,LPCVOID lpBaseAddress,LPVOID lpBuffer,DWORD nSize,LPDWORD lpNumberOfBytesRead)；

參数：

hProcess：进程句柄

lpBaseAddress：读出数据的地址

lpBuffer：存放读取数据的地址

nSize：读出的数据大小

lpNumberOfBytesRead：数据的实际大小

C#中使用该函数首先导入命名空间：

using System.Runtime.InteropServices;

然后写API引用部分的代码，放入 class 内部

[DllImport(“kernel32.dll “)]<br />static extern bool ReadProcessMemory(int hProcess, int lpBaseAddress,out int lpBuffer, int nSize, out int lpNumberOfBytesRead);<br />

这个函数有五个參数，第一个參数是 进程句柄，由OpenProcess函数获取；第二个參数是要读出数据的地址，使用CE等辅助工具可取得；第三个參数是用于存放读取数据的地址；第四个參数是 要读出的数据大小；第五个參数是读出数据的实际大小。比如：

IntPtr hwnd = FindWindow(null, “计算器”);<br />const int PROCESS_ALL_ACCESS = 0x1F0FFF;<br />const int PROCESS_VM_READ = 0x0010;<br />const int PROCESS_VM_WRITE = 0x0020;<br />if (hwnd != IntPtr.Zero)<br />{<br /> int calcID;<br /> int calcProcess;<br /> int dataAddress;<br /> int readByte;<br /> GetWindowThreadProcessId(hwnd, out calcID);<br /> calcProcess = OpenProcess(PROCESS_VM_READ | PROCESS_VM_WRITE, false, calcID);<br /> //如果地址0X0047C9D4存在信息<br /> ReadProcessMemory(calcProcess, 0X0047C9D4, out dataAddress, 4, out readByte);<br /> MessageBox.Show(dataAddress.ToString());<br />}<br />else<br />{<br /> MessageBox.Show(“没有找到窗体”);<br />}

假设我们读取的一段内存中的数据，我们引入部分可改动成例如以下：

//二维数组<br />[DllImport(“kernel32.dll “)]<br />static extern bool ReadProcessMemory(int hProcess, int lpBaseAddress, byte[,] lpBuffer, int nSize, out int lpNumberOfBytesRead);<br />//一维数组<br />[DllImport(“kernel32.dll “)]<br />static extern bool ReadProcessMemory(int hProcess, int lpBaseAddress, byte[] lpBuffer, int nSize, out int lpNumberOfBytesRead);<br />

因为数组是引用传递，我们不须要写outkeyword。