很难的DLL问题!,非高手莫看!!! 使用全局Mouse Hook可以把一个DLL加注到别的进程中,但"进程内存分配表"是什么意思呢????????????我不是高手,所以看不出个所以然来!!!!!!!!! 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 加注就是指向一个句柄已知的进程注入自己的dll,是被加注进程认为此dll是自己的线程,而我则可以通过那个dll知道被加注进程的内存分配表 进程内存分配表就是此进程所调用的所有dll在内存中的信息(大小,起始地址,结束地址) Mouse Hook是一种编程技术,用来截获别的进程的鼠标消息,看看SDK吧. Mouse Hook指的是鼠标钩子,但我想这个好象不可以把dll加进去。 你的要求是跟鼠标没有关系,它只不过是一种加注DLL到别的进程的手段而已. 在win2000下可以用GetProcessMemoryInfo得到进程内存信息 现在没搞清楚你要作什么,如果你要读内存信息,下面的就行获取内存信息 可以通过Windows API函数GlobalMemoryStatus来获得内存信息。 具体程序如下: procedure TForm1.Button1Click(Sender: TObject); Var MemInfo:MEMORYSTATUS; begin MemInfo.dwLength:=sizeof(MEMORYSTATUS); GlobalMemoryStatus(MemInfo); memo1.Lines.Add(IntToStr(MemInfo.dwMemoryLoad)+'%的内存正在使用') ; memo1.Lines.Add('物理内存共有'+IntToStr(MemInfo.dwTotalPhys)+'字节'); memo1.Lines.Add('可使用的物理内存有'+IntToStr(MemInfo.dwAvailPhys)+'字节'); memo1.Lines.Add('交换文件总大小为'+IntToStr(MemInfo.dwTotalPageFile)+'字节') ; memo1.Lines.Add('尚可交换文件大小为'+IntToStr(MemInfo.dwAvailPageFile)+'字节'); memo1.Lines.Add('总虚拟内存有'+IntToStr(MemInfo.dwTotalVirtual)+'字节'); memo1.Lines.Add('未用虚拟内存有'+IntToStr(MemInfo.dwAvailVirtual)+'字节'); end; 用GetProcessMemoryInfo能取得其他进程的所有内存信息么? “加注”? 你是想说“加载”吗?进程内存分配表?是术语吗?认为此dll是自己的线程?dll不是线程吧,回去查查dll和线程再来问问题Mouse Hook:鼠标钩子,你居然没听说过? 这是我机上词霸的存储映像表(仅是空闲表,整表太长了):存储映像表For WinNT: XDICT.EXE0 - FFFF 16 pp FREE1 1000 - 1 FFFF 15 pp FREE2 1000 - 2 FFFF 15 pp FREE13 1000 - 13 FFFF 15 pp FREE27 6000 - 27 FFFF 10 pp FREE2B 4000 - 2B FFFF 12 pp FREE30 1000 - 30 FFFF 15 pp FREE31 6000 - 31 FFFF 10 pp FREE36 1000 - 36 FFFF 15 pp FREE37 B000 - 37 FFFF 5 pp FREE3E 2000 - 3E FFFF 14 pp FREE3F C000 - 3F FFFF 4 pp FREE4C 3000 - 4C FFFF 13 pp FREE4E 2000 - 4E FFFF 14 pp FREE4F D000 - 4F FFFF 3 pp FREE50 A000 - 50 FFFF 6 pp FREE5D 8000 - 5D FFFF 8 pp FREE6E 3000 - 6E FFFF 13 pp FREEA0 1000 - A0 FFFF 15 pp FREEA1 1000 - A1 FFFF 15 pp FREEA3 9000 - A3 FFFF 7 pp FREEB5 3000 - B5 FFFF 13 pp FREE126 2000 - 126 FFFF 14 pp FREE139 2000 - 139 FFFF 14 pp FREE13B 1000 - 13B FFFF 15 pp FREE13C 1000 - 13D FFFF 31 pp FREE14F 1000 - 14F FFFF 15 pp FREE164 1000 - 164 FFFF 15 pp FREE165 2000 - 165 FFFF 14 pp FREE166 2000 - 166 FFFF 14 pp FREE189 1000 - 189 FFFF 15 pp FREE19E 0000 - 1A3 FFFF 96 pp FREE1A4 2000 - 1A4 FFFF 14 pp FREE1C5 0000 - FFF FFFF 58288 pp FREE1000 9000 - 3720 FFFF 160263 pp FREE3722 E000 - 37EF FFFF 3282 pp FREE37F1 6000 - 5B0E FFFF 143834 pp FREE5B0F 7000 - 5CE2 FFFF 7481 pp FREE5CE3 7000 - 62C1 FFFF 24041 pp FREE62C2 8000 - 7194 FFFF 60712 pp FREE71A3 4000 - 72C7 FFFF 4684 pp FREE72C8 8000 - 72C8 FFFF 8 pp FREE72C9 9000 - 72F0 FFFF 631 pp FREE72F6 A000 - 72F6 FFFF 6 pp FREE72F9 3000 - 7467 FFFF 5869 pp FREE746C B000 - 762F FFFF 7221 pp FREE7631 A000 - 7631 FFFF 6 pp FREE7636 5000 - 76B0 FFFF 1963 pp FREE76B3 C000 - 7717 FFFF 1604 pp FREE7729 A000 - 7729 FFFF 6 pp FREE7730 3000 - 7730 FFFF 13 pp FREE7739 B000 - 7739 FFFF 5 pp FREE77B9 4000 - 77B9 FFFF 12 pp FREE77BA 7000 - 77BA FFFF 9 pp FREE77BC 4000 - 77BC FFFF 12 pp FREE77BD 7000 - 77BD FFFF 9 pp FREE77C3 3000 - 77C3 FFFF 13 pp FREE77C8 0000 - 77C8 FFFF 16 pp FREE77D0 5000 - 77D0 FFFF 11 pp FREE77D9 D000 - 77D9 FFFF 3 pp FREE77E3 9000 - 77E3 FFFF 7 pp FREE77F4 D000 - 77F4 FFFF 3 pp FREE77FF 9000 - 7F6E FFFF 30455 pp FREE7F7F 0000 - 7FF9 FFFF 1968 pp FREE7FFD 3000 - 7FFD BFFF 9 pp FREE 1、首先你必须建立一个DLL。2、在那个DLL中使用函数SetWindowsHookEx函数安装Mouse Hook。这样只要用户把鼠标移到他的程序上,你的DLL就被注入到他的进程中,你就可以做你想做的事了。-------------具体看SDK吧。 懂了!非常感谢!!除了用Mouse Hook还有别的方法么? 用ReadProcessMemory函数可以读出其它进程的内存相关的Win API还有……,自己去查MSDN吧ContinueDebugEventDebugActiveProcessDebugBreakFatalExitFlushInstructionCacheGetThreadContextGetThreadSelectorEntryIsDebuggerPresent OutputDebugStringReadProcessMemorySetDebugErrorLevelSetThreadContextWaitForDebugEventWriteProcessMemory 直接做个.exe读目标进程即可,不用做.dll Mouse Hook?当然听过,只是我不想用鼠标而已。 如何访问一个进程的内存空间在WIN32中,每个应用程序都可“看见”4GB的线性地址空间,其中最开始的4MB和最后的2GB由操作系统保留,剩下不足2GB的空间用于应用程序私有空间。具体分配如下:0xFFFFFFFF-0xC0000000的1GB用于VxD、存储器管理和文件系统;0xBFFFFFFF-0x80000000的1GB用于共享的WIN32 DLL、存储器映射文件和共享存储区;0x7FFFFFFF-0x00400000为每个进程的WIN32专用地址;0x003FFFFF-0x00001000为MS-DOS 和 WIN16应用程序;0x00000FFF-0x00000000为防止使用空指针的4,096字节。以上都是指逻辑地址,也就是虚拟内存。虚拟内存通常是由固定大小的块来实现的,在WIN32中这些块称为“页”,每页大小为4,096字节。在Intel CPU结构中,通过在一个控制寄存器中设置一位来启用分页。启用分页时CPU并不能直接访问内存,对每个地址要经过一个映射进程,通过一系列称作“页表”的查找表把虚拟内存地址映射成实际内存地址。通过使用硬件地址映射和页表WIN32可使虚拟内存即有好的性能而且还提供保护。利用处理器的页映射能力,操作系统为每个进程提供独立的从逻辑地址到物理地址的映射,使每个进程的地址空间对另一个进程完全不可见。WIN32中也提供了一些访问进程内存空间的函数,但使用时要谨慎,一不小心就有可能破坏被访问的进程。本文介绍如何读另一个进程的内存,写内存与之相似,完善一下你也可以做个 FPE 之类的内存修改工具。好吧,先准备好编程利器Delphi 和 参考手册 MSDN ,Now begin! ReadProcessMemory 读另一个进程的内存,原形如下: BOOL ReadProcessMemory( HANDLE hProcess, // 被读取进程的句柄; LPCVOID lpBaseAddress, // 读的起始地址; LPVOID lpBuffer, // 存放读取数据缓冲区; DWORD nSize, // 一次读取的字节数; LPDWORD lpNumberOfBytesRead // 实际读取的字节数; ); hProcess 进程句柄可由OpenProcess 函数得到,原形如下: HANDLE OpenProcess( DWORD dwDesiredAccess, // 访问标志; BOOL bInheritHandle, // 继承标志; DWORD dwProcessId // 进程ID; );当然,用完别忘了用 CloseHandle 关闭打开的句柄。读另一个进程的内存 dwDesiredAccess 须指定为 PROCESS_VM_READ ,写另一个进程的内存 dwDesiredAccess 须指定为 PROCESS_VM_WRITE ,继承标志无所谓,进程ID可由 Process32First 和 Process32Next 得到,这两个函数可以枚举出所有开启的进程,这样进程的信息也就得到了。 Process32First 和 Process32Next是由 TLHelp32 单元提供的,需在 uses 里加上TLHelp32。ToolsHelp32 封装了一些访问堆、线程、进程等的函数,只适用于Win9x,原形如下: BOOL WINAPI Process32First( HANDLE hSnapshot // 由 CreateToolhelp32Snapshot 返回 的系统快照句柄; LPPROCESSENTRY32 lppe // 指向一个 PROCESSENTRY32 结构; ); BOOL WINAPI Process32Next( HANDLE hSnapshot // 由 CreateToolhelp32Snapshot 返回 的系统快照句柄; LPPROCESSENTRY32 lppe // 指向一个 PROCESSENTRY32 结构; ); hSnapshot 由 CreateToolhelp32Snapshot 返回的系统快照句柄; CreateToolhelp32Snapshot 原形如下: HANDLE WINAPI CreateToolhelp32Snapshot( DWORD dwFlags, // 快照标志; DWORD th32ProcessID // 进程ID; ); 现在需要的是进程的信息,所以将 dwFlags 指定为 TH32CS_SNAPPROCESS, th32ProcessID 忽略;PROCESSENTRY32 结构如下: typedef struct tagPROCESSENTRY32 { DWORD dwSize; // 结构大小; DWORD cntUsage; // 此进程的引用计数; DWORD th32ProcessID; // 进程ID; DWORD th32DefaultHeapID; // 进程默认堆ID; DWORD th32ModuleID; // 进程模块ID; DWORD cntThreads; // 此进程开启的线程计数; DWORD th32ParentProcessID;// 父进程ID; LONG pcPriClassBase; // 线程优先权; DWORD dwFlags; // 保留; char szExeFile[MAX_PATH]; // 进程全名; } PROCESSENTRY32;至此,所用到的主要函数已介绍完,实现读内存只要从下到上依次调用上述函数即可,具体参见原代码: procedure TForm1.Button1Click(Sender: TObject); var FSnapshotHandle:THandle; FProcessEntry32:TProcessEntry32; Ret : BOOL; ProcessID : integer; ProcessHndle : THandle; lpBuffer:pByte; nSize: DWORD; lpNumberOfBytesRead: DWORD; i:integer; s:string; begin FSnapshotHandle:=CreateToolhelp32Snapshot( TH32CS_SNAPPROCESS,0); //创建系统快照 FProcessEntry32.dwSize:=Sizeof(FProcessEntry32); //先初始化 FProcessEntry32 的大小 Ret:=Process32First(FSnapshotHandle,FProcessEntry32); while Ret do begin s:=ExtractFileName(FProcessEntry32.szExeFile); if s='KERNEL32.DLL' then begin ProcessID:=FProcessEntry32.th32ProcessID; s:='; break; end; Ret:=Process32Next(FSnapshotHandle,FProcessEntry32); end; //循环枚举出系统开启的所有进程,找出“Kernel32.dll” CloseHandle(FSnapshotHandle); Memo1.Lines.Clear ; memo1.lines.add('Process ID '+IntToHex( FProcessEntry32.th32ProcessID,8)); memo1.lines.Add('File name '+FProcessEntry32.szExeFile); ////输出进程的一些信息 nSize:=4; lpBuffer:=AllocMem(nSize); ProcessHndle:=OpenProcess(PROCESS_VM_READ,false,ProcessID); memo1.Lines.Add ('Process Handle '+intTohex(ProcessHndle,8)); for i:=$00800001 to $0080005f do begin ReadProcessMemory( ProcessHndle, Pointer(i), lpBuffer, nSize, lpNumberOfBytesRead ); s:=s+intTohex(lpBuffer^,2)+' '; //读取内容 if (i mod 16) =0 then begin Memo1.Lines.Add(s); s:='; end; //格式化输出 end; FreeMem(lpBuffer,nSize); CloseHandle(ProcessHndle); //关闭句柄,释放内存 end; 求助~~delphi 最简单的3层结构~~纠结了2天了!!!!求大侠!!!! 自动执行代码问题: 无情的雨,无情的你,无情地抢走了我200分-_-!!! 谁有delphi的系统开发模板:包括权限管理、菜单管理是节点、数据库等。EMAIL:[email protected] FasterReport挑食? 在delphi中实现无标题窗体的移动最简单的方法 在Delhpi怎样调用ini文件? 100奉送!关于使用HP LaserJet 1000 打印机碰到的问题!!!up也有分! 软件行业大调查 关于控件数组请教 net send 的问题 请教一个打印问题(很急)
如果你要读内存信息,下面的就行获取内存信息
可以通过Windows API函数GlobalMemoryStatus来获得内存信息。
具体程序如下:
procedure TForm1.Button1Click(Sender: TObject);
Var
MemInfo:MEMORYSTATUS;
begin
MemInfo.dwLength:=sizeof(MEMORYSTATUS);
GlobalMemoryStatus(MemInfo);
memo1.Lines.Add(IntToStr(MemInfo.dwMemoryLoad)+'%的内存正在使用') ;
memo1.Lines.Add('物理内存共有'+IntToStr(MemInfo.dwTotalPhys)+'字节');
memo1.Lines.Add('可使用的物理内存有'+IntToStr(MemInfo.dwAvailPhys)+'字节');
memo1.Lines.Add('交换文件总大小为'+IntToStr(MemInfo.dwTotalPageFile)+'字节') ;
memo1.Lines.Add('尚可交换文件大小为'+IntToStr(MemInfo.dwAvailPageFile)+'字节');
memo1.Lines.Add('总虚拟内存有'+IntToStr(MemInfo.dwTotalVirtual)+'字节');
memo1.Lines.Add('未用虚拟内存有'+IntToStr(MemInfo.dwAvailVirtual)+'字节');
end;
进程内存分配表?是术语吗?
认为此dll是自己的线程?dll不是线程吧,回去查查dll和线程再来问问题
Mouse Hook:鼠标钩子,你居然没听说过?
存储映像表For WinNT: XDICT.EXE0 - FFFF 16 pp FREE
1 1000 - 1 FFFF 15 pp FREE
2 1000 - 2 FFFF 15 pp FREE
13 1000 - 13 FFFF 15 pp FREE
27 6000 - 27 FFFF 10 pp FREE
2B 4000 - 2B FFFF 12 pp FREE
30 1000 - 30 FFFF 15 pp FREE
31 6000 - 31 FFFF 10 pp FREE
36 1000 - 36 FFFF 15 pp FREE
37 B000 - 37 FFFF 5 pp FREE
3E 2000 - 3E FFFF 14 pp FREE
3F C000 - 3F FFFF 4 pp FREE
4C 3000 - 4C FFFF 13 pp FREE
4E 2000 - 4E FFFF 14 pp FREE
4F D000 - 4F FFFF 3 pp FREE
50 A000 - 50 FFFF 6 pp FREE
5D 8000 - 5D FFFF 8 pp FREE
6E 3000 - 6E FFFF 13 pp FREE
A0 1000 - A0 FFFF 15 pp FREE
A1 1000 - A1 FFFF 15 pp FREE
A3 9000 - A3 FFFF 7 pp FREE
B5 3000 - B5 FFFF 13 pp FREE
126 2000 - 126 FFFF 14 pp FREE
139 2000 - 139 FFFF 14 pp FREE
13B 1000 - 13B FFFF 15 pp FREE
13C 1000 - 13D FFFF 31 pp FREE
14F 1000 - 14F FFFF 15 pp FREE
164 1000 - 164 FFFF 15 pp FREE
165 2000 - 165 FFFF 14 pp FREE
166 2000 - 166 FFFF 14 pp FREE
189 1000 - 189 FFFF 15 pp FREE
19E 0000 - 1A3 FFFF 96 pp FREE
1A4 2000 - 1A4 FFFF 14 pp FREE
1C5 0000 - FFF FFFF 58288 pp FREE
1000 9000 - 3720 FFFF 160263 pp FREE
3722 E000 - 37EF FFFF 3282 pp FREE
37F1 6000 - 5B0E FFFF 143834 pp FREE
5B0F 7000 - 5CE2 FFFF 7481 pp FREE
5CE3 7000 - 62C1 FFFF 24041 pp FREE
62C2 8000 - 7194 FFFF 60712 pp FREE
71A3 4000 - 72C7 FFFF 4684 pp FREE
72C8 8000 - 72C8 FFFF 8 pp FREE
72C9 9000 - 72F0 FFFF 631 pp FREE
72F6 A000 - 72F6 FFFF 6 pp FREE
72F9 3000 - 7467 FFFF 5869 pp FREE
746C B000 - 762F FFFF 7221 pp FREE
7631 A000 - 7631 FFFF 6 pp FREE
7636 5000 - 76B0 FFFF 1963 pp FREE
76B3 C000 - 7717 FFFF 1604 pp FREE
7729 A000 - 7729 FFFF 6 pp FREE
7730 3000 - 7730 FFFF 13 pp FREE
7739 B000 - 7739 FFFF 5 pp FREE
77B9 4000 - 77B9 FFFF 12 pp FREE
77BA 7000 - 77BA FFFF 9 pp FREE
77BC 4000 - 77BC FFFF 12 pp FREE
77BD 7000 - 77BD FFFF 9 pp FREE
77C3 3000 - 77C3 FFFF 13 pp FREE
77C8 0000 - 77C8 FFFF 16 pp FREE
77D0 5000 - 77D0 FFFF 11 pp FREE
77D9 D000 - 77D9 FFFF 3 pp FREE
77E3 9000 - 77E3 FFFF 7 pp FREE
77F4 D000 - 77F4 FFFF 3 pp FREE
77FF 9000 - 7F6E FFFF 30455 pp FREE
7F7F 0000 - 7FF9 FFFF 1968 pp FREE
7FFD 3000 - 7FFD BFFF 9 pp FREE
2、在那个DLL中使用函数SetWindowsHookEx函数安装Mouse Hook。这样只要用户把鼠标移到他的程序上,你的DLL就被注入到他的进程中,你就可以
做你想做的事了。-------------具体看SDK吧。
除了用Mouse Hook还有别的方法么?
ContinueDebugEvent
DebugActiveProcess
DebugBreak
FatalExit
FlushInstructionCache
GetThreadContext
GetThreadSelectorEntry
IsDebuggerPresent
OutputDebugString
ReadProcessMemory
SetDebugErrorLevel
SetThreadContext
WaitForDebugEvent
WriteProcessMemory
只是我不想用鼠标而已。
虚拟内存通常是由固定大小的块来实现的,在WIN32中这些块称为“页”,每页大小为4,096字节。在Intel CPU结构中,通过在一个控制寄存器中设置一位来启用分页。启用分页时CPU并不能直接访问内存,对每个地址要经过一个映射进程,通过一系列称作“页表”的查找表把虚拟内存地址映射成实际内存地址。通过使用硬件地址映射和页表WIN32可使虚拟内存即有好的性能而且还提供保护。利用处理器的页映射能力,操作系统为每个进程提供独立的从逻辑地址到物理地址的映射,使每个进程的地址空间对另一个进程完全不可见。WIN32中也提供了一些访问进程内存空间的函数,但使用时要谨慎,一不小心就有可能破坏被访问的进程。本文介绍如何读另一个进程的内存,写内存与之相似,完善一下你也可以做个 FPE 之类的内存修改工具。好吧,先准备好编程利器Delphi 和 参考手册 MSDN ,Now begin!
ReadProcessMemory 读另一个进程的内存,原形如下:
BOOL ReadProcessMemory(
HANDLE hProcess, // 被读取进程的句柄;
LPCVOID lpBaseAddress, // 读的起始地址;
LPVOID lpBuffer, // 存放读取数据缓冲区;
DWORD nSize, // 一次读取的字节数;
LPDWORD lpNumberOfBytesRead // 实际读取的字节数;
);
hProcess 进程句柄可由OpenProcess 函数得到,原形如下:
HANDLE OpenProcess(
DWORD dwDesiredAccess, // 访问标志;
BOOL bInheritHandle, // 继承标志;
DWORD dwProcessId // 进程ID;
);
当然,用完别忘了用 CloseHandle 关闭打开的句柄。读另一个进程的内存 dwDesiredAccess 须指定为 PROCESS_VM_READ ,写另一个进程的内存 dwDesiredAccess 须指定为 PROCESS_VM_WRITE ,继承标志无所谓,进程ID可由 Process32First 和 Process32Next 得到,这两个函数可以枚举出所有开启的进程,这样进程的信息也就得到了。 Process32First 和 Process32Next是由 TLHelp32 单元提供的,需在 uses 里加上TLHelp32。ToolsHelp32 封装了一些访问堆、线程、进程等的函数,只适用于Win9x,原形如下: BOOL WINAPI Process32First(
HANDLE hSnapshot //
由 CreateToolhelp32Snapshot 返回
的系统快照句柄;
LPPROCESSENTRY32 lppe // 指向一个 PROCESSENTRY32 结构;
);
BOOL WINAPI Process32Next(
HANDLE hSnapshot // 由 CreateToolhelp32Snapshot 返回
的系统快照句柄;
LPPROCESSENTRY32 lppe // 指向一个 PROCESSENTRY32 结构;
);
hSnapshot 由 CreateToolhelp32Snapshot 返回的系统快照句柄;
CreateToolhelp32Snapshot 原形如下:
HANDLE WINAPI CreateToolhelp32Snapshot(
DWORD dwFlags, // 快照标志;
DWORD th32ProcessID // 进程ID;
);
现在需要的是进程的信息,所以将 dwFlags
指定为 TH32CS_SNAPPROCESS,
th32ProcessID 忽略;PROCESSENTRY32 结构如下:
typedef struct tagPROCESSENTRY32 {
DWORD dwSize; // 结构大小;
DWORD cntUsage; // 此进程的引用计数;
DWORD th32ProcessID; // 进程ID;
DWORD th32DefaultHeapID; // 进程默认堆ID;
DWORD th32ModuleID; // 进程模块ID;
DWORD cntThreads; // 此进程开启的线程计数;
DWORD th32ParentProcessID;// 父进程ID;
LONG pcPriClassBase; // 线程优先权;
DWORD dwFlags; // 保留;
char szExeFile[MAX_PATH]; // 进程全名;
} PROCESSENTRY32;
至此,所用到的主要函数已介绍完,实现读内存只要从下到上依次调用上述函数即可,具体参见原代码:
procedure TForm1.Button1Click(Sender: TObject);
var
FSnapshotHandle:THandle;
FProcessEntry32:TProcessEntry32;
Ret : BOOL;
ProcessID : integer;
ProcessHndle : THandle;
lpBuffer:pByte;
nSize: DWORD;
lpNumberOfBytesRead: DWORD;
i:integer;
s:string;
begin
FSnapshotHandle:=CreateToolhelp32Snapshot(
TH32CS_SNAPPROCESS,0);
//创建系统快照
FProcessEntry32.dwSize:=Sizeof(FProcessEntry32);
//先初始化 FProcessEntry32 的大小
Ret:=Process32First(FSnapshotHandle,FProcessEntry32);
while Ret do
begin
s:=ExtractFileName(FProcessEntry32.szExeFile);
if s='KERNEL32.DLL' then
begin
ProcessID:=FProcessEntry32.th32ProcessID;
s:=';
break;
end;
Ret:=Process32Next(FSnapshotHandle,FProcessEntry32);
end;
//循环枚举出系统开启的所有进程,找出“Kernel32.dll”
CloseHandle(FSnapshotHandle);
Memo1.Lines.Clear ;
memo1.lines.add('Process ID '+IntToHex(
FProcessEntry32.th32ProcessID,8));
memo1.lines.Add('File name '+FProcessEntry32.szExeFile);
////输出进程的一些信息
nSize:=4;
lpBuffer:=AllocMem(nSize);
ProcessHndle:=OpenProcess(PROCESS_VM_READ,false,ProcessID);
memo1.Lines.Add ('Process Handle '+intTohex(ProcessHndle,8));
for i:=$00800001 to $0080005f do
begin
ReadProcessMemory(
ProcessHndle,
Pointer(i),
lpBuffer,
nSize,
lpNumberOfBytesRead
);
s:=s+intTohex(lpBuffer^,2)+' ';
//读取内容
if (i mod 16) =0 then
begin
Memo1.Lines.Add(s);
s:=';
end;
//格式化输出
end;
FreeMem(lpBuffer,nSize);
CloseHandle(ProcessHndle);
//关闭句柄,释放内存
end;