Windows核心编程系列文章仅作为实验报告和Windows编程学习参考,不作为任何技术文章,还望大佬们勿喷。
具体的系列文章想访问我的语雀:https://www.yuque.com/sunj3t
1. 实验名称
实现windows程序和进程编程
2. 实验环境
- VC6.0++
- Windows 7
3. 实验目的
- 完成一个Windows程序,并掌握进程的概念、进程的状态
- 下载process Explorer软件和spy++软件,使用这两款软件工具对内核对象,进程和线程相关信息进行查看。
- 要求应用采用进程函数实现一个应用程序
- 创建进程的方法,结束进程方程;
- 掌握进程间通信。
- 内存地址的写入和查询
4. 实验内容、步骤及结果
1. 实验内容
- 使用process Explorer软件和Spy++,并学会使用软件,查看内核对象,理解内核对象,进程概念。
- 通过创建子进程,打开记事本程序,并调用CreateToolhelp32Snapshot查找测试程序,然后调用ReadProcessMemory查找需要读的值的地址,然后通过writeProcessMemory写入。
2. 实验步骤
- 学会使用procexp
procexp
Procexp除了可以查看进程,还可以拿来结束进程,重启进程等
procexp
- 学会使用spy++
spy++
可以看到每个进程以及其线程的地址信息
- 要求应用采用进程函数实现一个应用程序
(1). 创建进程的方法,结束进程方程;
int main(int argc, char* argv[])
{
TCHAR szFileName[] = TEXT("Notepad");
STARTUPINFO si = { sizeof(si) };
PROCESS_INFORMATION pi;
::CreateProcess(NULL, szFileName, NULL, NULL, FALSE,CREATE_NEW_CONSOLE, NULL, NULL, &si, &pi); // 关闭线程句柄,既然我们不使用它
::CloseHandle(pi.hThread);
g_hProcess = pi.hProcess;
printf("进程ID:%d,线程ID:%d\n", pi.dwProcessId, pi.dwThreadId);
Sleep(100);
::CloseHandle(g_hProcess);
return 0;
}
(2). 掌握进程间通信。
HWND nphWnd = ::FindWindow("Notepad", NULL);
if (nphWnd)
{
int iVal;
printf(" Input val = "); // 输入修改的值
scanf("%d", &iVal);
FindFirst(iVal); // 进行第一次查找
ShowList(); // 打印出搜索的结果
while (g_nListCnt > 1)
{
printf(" Input val = ");
scanf("%d", &iVal);
FindNext(iVal); // 进行下次搜索
ShowList(); // 显示搜索结果
}
printf(" New value = "); // 取得新值
scanf("%d", &iVal); // 写入新值
if (WriteMemory(g_arList[0], iVal))
printf(" Write data success \n");
}
else
{
::MessageBox(NULL, TEXT("please open notepad"), TEXT("error"), MB_OK);
return 0;
}
(3). 内存地址的写入和查询
BOOL CompareAPage(DWORD dwBaseAddr, DWORD dwValue)
{
BYTE arBytes[4096]; // 读取1页内存
if (!::ReadProcessMemory(g_hProcess, (LPVOID)dwBaseAddr, arBytes, 4096, NULL))
return FALSE; // 此页不可读
DWORD* pdw; // 在这1页内存中查找
for (int i = 0; i<(int)4 * 1024 - 3; i++)
{
pdw = (DWORD*)&arBytes[i];
if (pdw[0] == dwValue) // 等于要查找的值?
{
if (g_nListCnt >= 1024)
return FALSE;
// 添加到全局变量中
g_arList[g_nListCnt++] = dwBaseAddr + i;
}
}
return TRUE;
}
BOOL FindFirst(DWORD dwValue)
{
const DWORD dwOneGB = 1024 * 1024 * 1024; // 1GB
const DWORD dwOnePage = 4 * 1024; // 4KB
if (g_hProcess == NULL)
return FALSE;
DWORD dwBase; // 查看操作系统类型,以决定开始地址
OSVERSIONINFO vi = { sizeof(vi) };
::GetVersionEx(&vi);
if (vi.dwPlatformId == VER_PLATFORM_WIN32_WINDOWS)
dwBase = 4 * 1024 * 1024; // Windows 98系列,4MB
else
dwBase = 640 * 1024; // Windows NT系列,64KB
for (; dwBase < 2 * dwOneGB; dwBase += dwOnePage) // 在开始地址到2GB的地址空间进行查找
{
CompareAPage(dwBase, dwValue); // 比较1页大小的内存
}
return TRUE;
}
BOOL FindNext(DWORD dwValue)
{
int nOrgCnt = g_nListCnt; // 保存m_arList数组中有效地址的个数,初始化新的m_nListCnt值
g_nListCnt = 0; // 在m_arList数组记录的地址处查找
BOOL bRet = FALSE; // 假设失败
DWORD dwReadValue;
for (int i = 0; i<nOrgCnt; i++)
{
if (::ReadProcessMemory(g_hProcess, (LPVOID)g_arList[i], &dwReadValue, sizeof(DWORD), NULL))
{
if (dwReadValue == dwValue)
{
g_arList[g_nListCnt++] = g_arList[i];
bRet = TRUE;
}
}
}
return bRet;
}
void ShowList() // 打印出搜索到的地址
{
for (int i = 0; i< g_nListCnt; i++)
{
printf("%08lX \n", g_arList[i]);
}
}
BOOL WriteMemory(DWORD dwAddr, DWORD dwValue)
{
return ::WriteProcessMemory(g_hProcess, (LPVOID)dwAddr, &dwValue, sizeof(DWORD), NULL);
}
3. 实验结果(实验运行截图)
输入修改的值:
输入修改的值
取得新值并写入新值:
取得新值并写入新值
5. 实验中的问题及心得
- 一开始使用VS2015去编译老师给的相关代码和书上的代码,发现会爆很多错误,后面发现是因为版本太高,好一些函数在新版本并不能使用。所以最后我还是使用的vc作为编译器。
- 如果不在查找程序之前让程序稍停一会儿,那么FindWindow()函数会直接执行完毕而导致判断nphWnd时会认为程序并没有打开。所以需要在FindWindow()函数前加上sleep()函数。
- 对windows的API调用时要注意每个函数的参数的作用,以及参数的类型,如果类型不匹配的话也是不能够成功调用的。
6. 附件
以下是实验代码
链接:https://pan.baidu.com/s/1Ytldu_4DypGdyGEIUCaIHQ
提取码:yaxi
