搜索内存数据(三)

 

2. Option Base 1
3. Option Explicit
5. Private Declare Function GetCurrentProcessId Lib "kernel32" () As Long
6. Private Const PAGE_READWRITE = 
7. Private Const MEM_COMMIT = 
8. Private Type MEMORY_BASIC_INFORMATION
9.     BaseAddress As Long
10.     AllocationBase As Long
11.     AllocationProtect As Long
12.     RegionSize As Long
13.     State As Long
14.     Protect As Long
15.     lType As Long
16. End Type
17. Private Declare Function VirtualQueryEx Lib "kernel32" (ByVal hProcess As Long, ByVal lpAddress As Long, lpBuffer As MEMORY_BASIC_INFORMATION, ByVal dwLength As Long) As Long
18. Private Declare Sub CopyMemory Lib "kernel32" Alias "RtlMoveMemory" (Destination As Any, Source As Any, ByVal Length As Long)
19. Private Declare Function DebugActiveProcess Lib "kernel32" (ByVal dwProcessId As Long) As Long
20. Private Declare Function FindWindow Lib "user32" Alias "FindWindowA" (ByVal lpClassName As String, ByVal lpWindowName As String) As Long
21. Private Declare Function GetWindowThreadProcessId Lib "user32" (ByVal hWnd As Long, lpdwProcessId As Long) As Long
22. Private Const TH32CS_SNAPPROCESS As Long = 
23. Private Declare Function CreateToolhelp32Snapshot Lib "kernel32" (ByVal lFlags As Long, ByVal lProcessID As Long) As Long
24. Private Const MAX_PATH As Integer = 260
25. Private Type PROCESSENTRY32
26.     dwSize As Long
27.     cntusage As Long
28.     th32ProcessID As Long           ' this process
29.     th32DefaultHeapID As Long
30.     th32ModuleID As Long            ' associated exe
31.     cntThreads As Long
32.     th32ParentProcessID As Long     ' this process's parent process
33.     pcPriClassBase As Long          ' Base priority of process's threads
34.     dwFlags As Long
35.     szExeFile As String * MAX_PATH  ' Path
36. End Type
37. Private Declare Function Process32First Lib "kernel32" (ByVal hSnapShot As Long, uProcess As PROCESSENTRY32) As Long
38. Private Declare Function Process32Next Lib "kernel32" (ByVal hSnapShot As Long, uProcess As PROCESSENTRY32) As Long
39. Private Declare Function CloseHandle Lib "kernel32" (ByVal hObject As Long) As Long
40. Private Declare Function OpenProcess Lib "kernel32" (ByVal dwDesiredAccess As Long, ByVal bInheritHandle As Long, ByVal dwProcessId As Long) As Long
41. Private Const PROCESS_VM_READ As Long = &H10                    '允许读目标进程
42. Private Const PROCESS_QUERY_INFORMATION As Long = &H400         '允许查询内存状态
43. Private Const PROCESS_ALL_ACCESS As Long = &H1F0FFFF            '允许完全控制目标进程
44. Private Declare Function ReadProcessMemory Lib "kernel32" (ByVal hProcess As Long, lpBaseAddress As Any, lpBuffer As Any, ByVal nSize As Long, lpNumberOfBytesWritten As Long) As Long
45. Private Declare Function EnumProcessModules Lib "psapi.dll" (ByVal hProcess As Long, lphModule As Any, ByVal cb As Long, lpcbNeeded As Long) As Boolean
46. Private Declare Function GetModuleFileNameEx Lib "psapi" Alias "GetModuleFileNameExA" (ByVal hProcess As Long, ByVal hModule As Long, ByVal lpFilename As String, ByVal nSize As Long) As Long
48. Sub Main()
49.     Dim s As String
50.     Dim b() As Byte
51.     Dim nLen As Long
52.      
53.     s = "1234567890"
54.     nLen = Len(s) * 2
55.     ReDim b(nLen) As Byte
56.     CopyMemory b(1), ByVal StrPtr(s), nLen
57.      
58.     Call Search(b, GetCurrentProcessId())
59. End Sub
62. Public Sub Search(byteData() As Byte, Optional p_ID As Long = 0, Optional szWindowText As String = "", Optional ByVal lpStart As Long = &H100000, Optional lpEnd As Long = &H7FFFFFFF)
63.     Dim hWnd As Long                                                '窗口句柄
64.     Dim hProcessID As Long                                          '进程ID
65.     Dim hProcessSnapShot As Long                                    '进程快照句柄
66.     Dim szModuleName As String                                      '进程模块名称
67.     Dim bSuccessHup As Boolean                                      '进程挂起标志
68.     Dim bFoundProcess As Boolean                                    '进程查找标志
69.     Dim stProcess As PROCESSENTRY32                                 '进程信息结构
71.     '判断进程句柄是否存在,如果不存在,则查找进程
72.     If p_ID > 0 Then                                            '如果直接指定了要查找的目标进程的ID
73.         hProcessID = p_ID
74.     Else
75.         If Len(szWindowText) > 0 Then                           '如果指定了窗口名称
76.             hWnd = FindWindow(vbNullString, szWindowText)
77.             If hWnd = 0 Then Exit Sub
78.             GetWindowThreadProcessId hWnd, hProcessID
79.         End If
80.     End If
81.     If hProcessID > 0 Then                                      '查找特定的进程
82.         Call fnSearch(byteData, hProcessID, lpStart, lpEnd)
83.     Else                                                        '查找所有进程
84.         stProcess.dwSize = Len(stProcess)
85.         hProcessSnapShot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0&)
86.         bFoundProcess = Process32First(hProcessSnapShot, stProcess)
87.         Do While bFoundProcess
88.             hProcessID = stProcess.th32ProcessID
89.             szModuleName = Left(stProcess.szExeFile, InStr(stProcess.szExeFile, vbNullChar) - 1)
90.             Call fnSearch(byteData, hProcessID, lpStart, lpEnd)
91.             bFoundProcess = Process32Next(hProcessSnapShot, stProcess)
92.         Loop
93.         CloseHandle hProcessSnapShot
94.     End If
95. End Sub
97. Private Function fnSearch(byteData() As Byte, ByVal p_ID As Long, ByVal lpStart As Long, ByVal lpEnd As Long)
98.     Dim hProcess As Long
99.                '进程句柄
100.     Dim lpBaseAddress As Long
101.     Dim bSuccess As Boolean
102.     Dim MBI As MEMORY_BASIC_INFORMATION
103.     Dim lRet As Long                                                '用于接收API返回值
104.     Dim mbiSize As Long, bSize As Long, dwNeeded As Long
105.     Dim lpMBI As Long, lpByte As Long
106.     Dim lpBuffer() As Byte                                          '内存缓冲区指针
107.     Dim lpszFileName As String                                      '进程模块名称数组
108.      
109.     lpBaseAddress = lpStart
110.     mbiSize = Len(MBI)
111.     bSize = UBound(byteData)
112.      
113.     hProcess = OpenProcess(PROCESS_VM_READ Or PROCESS_QUERY_INFORMATION, False, p_ID)
114.     If hProcess = 0 Then Exit Function
115.      
116.     lpszFileName = String(MAX_PATH, vbNullChar)                     '取完整的进程模块名称
117.     If GetModuleFileNameEx(hProcess, ByVal 0&, lpszFileName, MAX_PATH) Then
118.         lpszFileName = Left(lpszFileName, InStr(lpszFileName, vbNullChar) - 1)
119.     End If
120.     lRet = VirtualQueryEx(hProcess, lpBaseAddress, MBI, mbiSize)
121.      
122.     Do While ((lRet > 0) And (lpBaseAddress < lpEnd))
123.         If (MBI.Protect And PAGE_READWRITE) And (MBI.State = MEM_COMMIT) Then
124.             ReDim lpBuffer(MBI.RegionSize)
125.             ReadProcessMemory hProcess, ByVal MBI.BaseAddress, lpBuffer(1), MBI.RegionSize, 0
126.             For lpMBI = 1 To MBI.RegionSize - bSize
127.                 For lpByte = 1 To bSize
128.                     bSuccess = (lpBuffer(lpMBI + lpByte) = byteData(lpByte))
129.                     If Not bSuccess Then Exit For
130.                 Next
131.                 If bSuccess Then    '找到目标内容
132.                     Debug.Print "找到目标内容,进程文件:", lpszFileName, "地址:", MBI.BaseAddress + lpMBI
133.                 End If
134.             Next
135.         End If
136.         lpBaseAddress = lpBaseAddress + MBI.RegionSize
137.         lRet = VirtualQueryEx(hProcess, lpBaseAddress, MBI, mbiSize)
138.         DoEvents
139.     Loop
140.     CloseHandle hProcess
141. End Function
143. Private Function fnSearch1(byteData() As Byte, ByVal p_ID As Long, ByVal lpStart As Long, ByVal lpEnd As Long)
144.     Dim hProcess As Long                                            '进程句柄
145.     Dim lpBaseAddress As Long
146.     Dim bSuccess As Boolean
147.     Dim MBI As MEMORY_BASIC_INFORMATION
148.     Dim lRet As Long
149.     '用于接收API返回值
150.     Dim mbiSize As Long, bSize As Long, dwNeeded As Long
151.     Dim lpMBI As Long, lpByte As Long
152.     Dim lpMemBuffer() As Long                                       '内存缓冲区指针
153.     Dim lpDataBuffer() As Long                                      '要查找的字符串缓冲区指针
154.     Dim lpszFileName As String                                      '进程模块名称数组
155.      
156.     lpBaseAddress = lpStart
157.     mbiSize = Len(MBI)
158.     bSize = UBound(byteData)
159.     bSize = (bSize / 4) + IIf((bSize Mod 4) <> 0, 1, 0)
160.     ReDim lpDataBuffer(bSize)
161.     CopyMemory lpDataBuffer(1), byteData(1), UBound(byteData)
162.      
163.     hProcess = OpenProcess(PROCESS_VM_READ Or PROCESS_QUERY_INFORMATION, False, p_ID)
164.     If hProcess = 0 Then Exit Function
165.      
166.     lpszFileName = String(MAX_PATH, vbNullChar)                     '取完整的进程模块名称
167.     If GetModuleFileNameEx(hProcess, ByVal 0&, lpszFileName, MAX_PATH) Then
168.         lpszFileName = Left(lpszFileName, InStr(lpszFileName, vbNullChar) - 1)
169.     End If
170.     lRet = VirtualQueryEx(hProcess, lpBaseAddress, MBI, mbiSize)
171.      
172.     Do While ((lRet > 0) And (lpBaseAddress < lpEnd))
173.         If (MBI.Protect And PAGE_READWRITE) And (MBI.State = MEM_COMMIT) Then
174.             ReDim lpMemBuffer(MBI.RegionSize)
175.             ReadProcessMemory hProcess, ByVal MBI.BaseAddress, lpMemBuffer(1), MBI.RegionSize, 0
176.             For lpMBI = 1 To (MBI.RegionSize / 4 - bSize)
177.                 For lpByte = 1 To bSize
178.                     bSuccess = (lpMemBuffer(lpMBI + lpByte) = lpDataBuffer(lpByte))
179.                     If Not bSuccess Then Exit For
180.                 Next
181.                 If bSuccess Then    '找到目标内容
182.                     Debug.Print "找到目标内容,进程文件:", lpszFileName, "地址:", MBI.BaseAddress + lpMBI * 4
183.                 End If
184.             Next
185.         End If
186.         lpBaseAddress = lpBaseAddress + MBI.RegionSize
187.         lRet = VirtualQueryEx(hProcess, lpBaseAddress, MBI, mbiSize)
188.         DoEvents
189.     Loop
190.     CloseHandle hProcess
191. End Function