Python ReadProcessMemory没有读取足够的字节

2024-05-20 14:09:54 发布

您现在位置:Python中文网/ 问答频道 /正文
2662 3

好吧,你们所有的大师们。。。在

我有一个python脚本,它每秒读取内存地址100次。存储在这个内存地址的值代表一个无符号整数。这个值随着时间的推移而增加。不幸的是,当它通过2^8、2^16或2^24时,ReadProcessMemory调用读取的字节数不足,无法获取较大的整数。实际上,在第一次读取之后,它似乎没有读取正确的字节量。在

以下是代码片段:

from time import sleep
from ctypes import *
from struct import *
pid = 0x0D50
op = windll.kernel32.OpenProcess
rpm = windll.kernel32.ReadProcessMemory
ch = windll.kernel32.CloseHandle
PAA = 0x1F0FFF
addy = 0x38D53368
ph = op(PAA,False,int(pid)) #program handle
lastvalue = 0
while True:
   datadummy = b'.'*4
   buff = c_char_p(datadummy)
   bufferSize = (len(buff.value))
   bytesRead = c_ulong(0)

   if rpm(ph,addy,buff,bufferSize,byref(bytesRead)):
       value = unpack('I',datadummy)[0]
       if lastvalue != value:
           print value
           print bytesRead
           lastvalue = value
   sleep(.01)

结果可能是:

^{pr2}$

在我看来,它只是读取前一个调用需要读取的字节数。。。在

我该怎么解决这个问题?在


Tags: fromimportvaluesleep整数pidbuff字节数
2条回答
网友
1楼 · 编辑于 2024-05-20 14:09:54

表达式b'.'*4在模块的code对象中创建了常量'....'。这个常量和Python中的其他常量一样是一个对象,但它被认为是不可变的。您使用ctypes违反了这个假设。例如:

>>> from ctypes import *
>>> def f():
...   s = b'.'*4
...   buf = c_char_p(s)
...   memset(buf, 0, 1)
... 
>>> f.__code__.co_consts
(None, '.', 4, 0, 1, '....')
>>> c_char_p(f.__code__.co_consts[5]).value
'....'

>>> f() # set the first character to "\x00"
>>> f.__code__.co_consts
(None, '.', 4, 0, 1, '\x00...')
>>> c_char_p(f.__code__.co_consts[5]).value
''

c_char_pvalue描述符要求缓冲区是以空结尾的字符串。当第一个字节变为0时,value返回一个空字符串。现在看一下191的值,它被打包成一个小endian,unsigned long

^{pr2}$

这应该可以解释为什么bufferSize在第二次通过时变成1。在

如果字符串已被截取,则可能导致解释器崩溃或使其无法使用。cpythonapi中使用的大多数字符串都是内联的,模块、类、函数、属性和变量的名称也是如此。例如:

>>> from ctypes import *
>>> import numbers
>>> s = 'numbers'
>>> b = c_char_p(s)
>>> r = memset(b, 100, 1)
>>> s
'dumbers'

>>> numbers.Number
Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
NameError: name 'numbers' is not defined

>>> globals()[s].Number
<class 'numbers.Number'>

create_string_buffer是一个方便的函数,可以一次性创建和设置char数组:

>>> b1 = create_string_buffer('test1')
>>> type(b1)
<class 'ctypes.c_char_Array_6'>
>>> b1.value
'test1'

>>> b2 = (c_char * 6)()
>>> b2.value = 'test2'
>>> type(b2)
<class 'ctypes.c_char_Array_6'>
>>> b2.value
'test2'
>>> b2.raw
'test2\x00'

您还可以传递对unsigned long的引用:

value = c_ulong() 
bytesRead = c_ulong()
rpm(ph, addy, byref(value), sizeof(value), byref(bytesRead))

另一个违反不变性假设的例子。小于256的整数被缓存,即使用它们的代码总是引用同一组对象。所以如果你改变其中一个,它会影响整个系统:

>>> offset = sizeof(c_size_t)*2
>>> addr = id(200) + offset
>>> n = c_int.from_address(addr)
>>> n
c_long(200)
>>> n.value = 2000000
>>> 
>>> 200 + 1
2000001
网友
2楼 · 编辑于 2024-05-20 14:09:54

好吧,我想好了。我需要使用ctypes.create_string_buffer(init_or_size[, size]),而不是我尝试的c_char_p。在

工作守则:

from time import sleep
from ctypes import *
from struct import *
pid = 0x0D50
op = windll.kernel32.OpenProcess
rpm = windll.kernel32.ReadProcessMemory
ch = windll.kernel32.CloseHandle
PAA = 0x1F0FFF
addy = 0x543A88F0
ph = op(PAA,False,int(pid)) #program handle
lastvalue = 0
while True:

   buff = create_string_buffer(4)
   bufferSize = (sizeof(buff))
   bytesRead = c_ulong(0)

   if rpm(ph,addy,buff,bufferSize,byref(bytesRead)):
       value = unpack('I',buff)[0]
       if lastvalue != value:
           print value
           print bytesRead
           lastvalue = value
   sleep(.01)

相关问题 更多 >

    编程相关推荐