[求助]除了ReadProcessMemory能读取内存还有什么API可以！-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
二毛雪币： 143 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 392 粉丝 0 关注私信	二毛 2 楼还有比它更底层的实现，比如 ZwReadVirtualMemory NtReadVirtualMemory 还可以在r0里KeAttachProcess附加到进程里去直接用指针读取。还可以在r3里注入DLL到目标进程里直接读取。还可以通过CreatRemoteThread让目标进程执行WriteFile把你需要的数据写到文件你再读文件获取等等。。 2010-2-2 03:03 0
XPoy 雪币： 242 活跃值： (418) 能力值： ( LV11，RANK：188 ) 在线值：发帖 26 回帖 279 粉丝 5 关注私信	XPoy 3 3 楼一直想给OD整个 HOOK ReadProcessMemory换用自己注入到目标进程的DLL读取内存的plugin，但应该已经有了罢？有前辈见过类似功能的plugin吗？ 2010-2-2 05:32 0
sunwayking 雪币： 252 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 115 粉丝 0 关注私信	sunwayking 4 楼如果你有权限直接用指针读也行. 2010-2-2 09:04 0
honffx 雪币： 230 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 134 粉丝 0 关注私信	honffx 5 楼网上扎到这些方法。。。 var X: SmallInt = 8; procedure TForm1.Button1Click(Sender: TObject); var P : ^SmallInt; begin P := @x; Showmessage(InttoStr(P^)); end; procedure TForm1.Button2Click(Sender: TObject); var Addr : integer; begin Addr := integer(@X); //地址值 Showmessage(InttoStr(Addr)); //显示这个地址值 Showmessage(InttoStr(PSmallInt(Addr)^)); end; procedure TForm1.Button3Click(Sender: TObject); var Temp: SmallInt; begin CopyMemory(@Temp, @X, SizeOf(SmallInt)); Showmessage(InttoStr(Temp)); end; 2010-2-2 11:52 0
madaxian 雪币： 246 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 216 粉丝 0 关注私信	madaxian 6 楼直接用指针了，修改内存本来就是一个最基本的操作而已，mov指令就是读写内存的，那些外挂网站真能误导人。教出来的人就知道个api。。。。 2010-2-3 21:21 0
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 7 楼非也. API才是正道. 2010-2-3 22:40 0
hhuu 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	hhuu 8 楼远线程插入，用mov即可。 2010-2-26 00:28 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 9 楼 ReadProcessMemory是访问其它进程的，对于本进程只要直接用指针访问 2010-3-5 22:13 0
garyzjq 雪币： 463 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 97 粉丝 0 关注私信	garyzjq 10 楼对啊，远程注入用指针很方便的，估计读大量数据速度也快 2010-3-8 18:38 0
VeryCool 雪币： 409 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	VeryCool 11 楼 2010-3-16 21:19 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 12 楼 ReadProcessMemory是访问其他进程，地址空间都不一样，没法直接用指针。至少先要用api进入其他进程的空间。在ring0下修改CR3还行，ring3肯定没办法。 2010-3-17 09:39 0
jokersky 雪币： 132 活跃值： (30) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 189 粉丝 1 关注私信	jokersky 1 13 楼在r0里KeAttachProcess附加到进程里去直接用指针读取。有这么强悍滴方法才值得进入R0嘛。。。 2010-10-27 10:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
二毛雪币： 143 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 392 粉丝 0 关注私信	二毛 2 楼还有比它更底层的实现，比如 ZwReadVirtualMemory NtReadVirtualMemory 还可以在r0里KeAttachProcess附加到进程里去直接用指针读取。还可以在r3里注入DLL到目标进程里直接读取。还可以通过CreatRemoteThread让目标进程执行WriteFile把你需要的数据写到文件你再读文件获取等等。。 2010-2-2 03:03 0
XPoy 雪币： 242 活跃值： (418) 能力值： ( LV11，RANK：188 ) 在线值：发帖 26 回帖 279 粉丝 5 关注私信	XPoy 3 3 楼一直想给OD整个 HOOK ReadProcessMemory换用自己注入到目标进程的DLL读取内存的plugin，但应该已经有了罢？有前辈见过类似功能的plugin吗？ 2010-2-2 05:32 0
sunwayking 雪币： 252 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 115 粉丝 0 关注私信	sunwayking 4 楼如果你有权限直接用指针读也行. 2010-2-2 09:04 0
honffx 雪币： 230 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 134 粉丝 0 关注私信	honffx 5 楼网上扎到这些方法。。。 var X: SmallInt = 8; procedure TForm1.Button1Click(Sender: TObject); var P : ^SmallInt; begin P := @x; Showmessage(InttoStr(P^)); end; procedure TForm1.Button2Click(Sender: TObject); var Addr : integer; begin Addr := integer(@X); //地址值 Showmessage(InttoStr(Addr)); //显示这个地址值 Showmessage(InttoStr(PSmallInt(Addr)^)); end; procedure TForm1.Button3Click(Sender: TObject); var Temp: SmallInt; begin CopyMemory(@Temp, @X, SizeOf(SmallInt)); Showmessage(InttoStr(Temp)); end; 2010-2-2 11:52 0
madaxian 雪币： 246 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 216 粉丝 0 关注私信	madaxian 6 楼直接用指针了，修改内存本来就是一个最基本的操作而已，mov指令就是读写内存的，那些外挂网站真能误导人。教出来的人就知道个api。。。。 2010-2-3 21:21 0
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 7 楼非也. API才是正道. 2010-2-3 22:40 0
hhuu 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	hhuu 8 楼远线程插入，用mov即可。 2010-2-26 00:28 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 9 楼 ReadProcessMemory是访问其它进程的，对于本进程只要直接用指针访问 2010-3-5 22:13 0
garyzjq 雪币： 463 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 97 粉丝 0 关注私信	garyzjq 10 楼对啊，远程注入用指针很方便的，估计读大量数据速度也快 2010-3-8 18:38 0
VeryCool 雪币： 409 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	VeryCool 11 楼 2010-3-16 21:19 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 12 楼 ReadProcessMemory是访问其他进程，地址空间都不一样，没法直接用指针。至少先要用api进入其他进程的空间。在ring0下修改CR3还行，ring3肯定没办法。 2010-3-17 09:39 0
jokersky 雪币： 132 活跃值： (30) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 189 粉丝 1 关注私信	jokersky 1 13 楼在r0里KeAttachProcess附加到进程里去直接用指针读取。有这么强悍滴方法才值得进入R0嘛。。。 2010-10-27 10:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复