开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

更快的替代方案也是WINAPI ReadProcessMemory

更快的替代方案是使用内核级别的函数来读取进程内存，例如使用Windows操作系统提供的NTAPI函数ZwReadVirtualMemory。这个函数可以直接在内核态下读取进程的内存，相比于用户态下的ReadProcessMemory函数，具有更高的效率和更低的开销。

ZwReadVirtualMemory是Windows操作系统提供的一个系统调用，用于在内核态下读取指定进程的内存。它可以绕过用户态和内核态之间的上下文切换，直接在内核中进行内存读取操作，因此速度更快。

使用ZwReadVirtualMemory函数需要了解一些底层的操作系统原理和编程技巧，因为它是在内核态下操作的，所以需要使用驱动程序或者内核模块来调用这个函数。这需要一定的开发经验和专业知识。

ZwReadVirtualMemory函数的使用场景包括但不限于以下几个方面：

调试和逆向工程：在进行软件调试或者逆向工程分析时，需要读取其他进程的内存数据，可以使用ZwReadVirtualMemory函数来实现。
内存监控和安全分析：在进行系统安全分析或者内存监控时，需要读取其他进程的内存数据，可以使用ZwReadVirtualMemory函数来获取所需信息。
内存映射和共享：在进行内存映射和共享操作时，可以使用ZwReadVirtualMemory函数来读取其他进程的内存数据，实现数据的共享和交换。

腾讯云提供了一系列的云计算产品和服务，可以满足各种应用场景的需求。具体推荐的产品和介绍链接如下：

云服务器（ECS）：提供弹性计算能力，可根据实际需求弹性调整计算资源。链接：https://cloud.tencent.com/product/cvm
云数据库（CDB）：提供稳定可靠的数据库服务，支持多种数据库引擎。链接：https://cloud.tencent.com/product/cdb
云存储（COS）：提供高可靠、低成本的对象存储服务，适用于各种数据存储需求。链接：https://cloud.tencent.com/product/cos
人工智能（AI）：提供丰富的人工智能服务，包括图像识别、语音识别、自然语言处理等。链接：https://cloud.tencent.com/product/ai
物联网（IoT）：提供全面的物联网解决方案，包括设备接入、数据管理、应用开发等。链接：https://cloud.tencent.com/product/iotexplorer

以上是腾讯云提供的一些相关产品和服务，可以根据具体需求选择适合的产品来实现更快的替代方案。

相关搜索:更快的外部替代方案熊猫Groupby更快的替代方案？采用Chez方案的ReadProcessMemory Tensorflow tf.einsum()的更快替代方案爱因斯坦求和循环的更快替代方案？pandas.DataFrame.from_dict更快的替代方案 python中'for循环‘的替代方案，运行速度更快更快的循环替代方案，与R中的If结合使用在数据帧上执行for循环的更快的替代方案？Python:搜索项目是否在列表中的更快替代方案比PIL.ImageTk.PhotoImage更快的替代方案是什么？C++用于启动多个命令提示的System()替代方案.WINAPI(无MFC)MATLAB:为什么符号替换如此缓慢?更快的替代方案是什么？innerHTML的替代方案？PlayJsonFormat的替代方案 CurvyCorners 的替代方案 "in"的有效替代方案 .SendKeys的替代方案 DefaultDict的替代方案 ABAddressBookRegisterExternalChangeCallback的替代方案

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

ReadProcessMemory与WriteProcessMemory用例分析

首先介绍一个函数VirtualProtectEx，它用来改变一个进程的虚拟地址中特定页里的某一区域的保护属性，这句话有些咬嘴，直接从MSDN中翻译过来的，简单来说就是改变某一进程中虚拟地址的保护属性，如果以前是只读的，那改变属性为PAGE_EXECUTE_READWRITE后，就可以更改这部分内存了。

02

read digest_view the readme file

以我的理解，系统调用，即从调用操作系统提供的3环API开始，到进0环，再到返回结果到3环的全过程。

03

通过ReadProcessMemory读取进程内存「建议收藏」

修改一个程序的过程如下：1、获得进程的句柄 2、以一定的权限打开进程 3、调用ReadProcessMemory读取内存，WriteProcessMemory修改内存，这也是内存补丁的实现过程。下面贴出的是调用ReadProcessMemory的例程

05

ReadProcessMemory会被检测到吗?_仅完成部分readprocess如何解决

hProcess：目标进程的句柄。这个句柄必须有 PROCESS_VM_READ 标记。

03

ReadProcessMemory/C++的探索

A handle to the process with memory that is being read. The handle must have PROCESS_VM_READ access to the process.

03

用Go语言写一个Windows的外挂（上）

本人在一家互联网金融公司上班，对于一家互联网金融公司，最基本的功能就是客户入金和出金，而出金的稳定性是很重要的，出金不畅容易导致投资人恐慌，本文讲的是出金，出金接口我们对接的是招商银行的银企直联系统，那么银企直连系统是一个什么样的程序呢？

02

7.7 实现进程内存读写

内存进程读写可以让我们访问其他进程的内存空间并读取或修改其中的数据。这种技术通常用于各种调试工具、进程监控工具和反作弊系统等场景。在Windows系统中，内存进程读写可以通过一些API函数来实现，如OpenProcess、ReadProcessMemory和WriteProcessMemory等。这些函数提供了一种通用的方式来访问其他进程的内存，并且可以用来读取或写入不同类型的数据，例如整数、字节集、浮点数等。

03

7.7 实现进程内存读写

内存进程读写可以让我们访问其他进程的内存空间并读取或修改其中的数据。这种技术通常用于各种调试工具、进程监控工具和反作弊系统等场景。在Windows系统中，内存进程读写可以通过一些API函数来实现，如OpenProcess、ReadProcessMemory和WriteProcessMemory等。这些函数提供了一种通用的方式来访问其他进程的内存，并且可以用来读取或写入不同类型的数据，例如整数、字节集、浮点数等。

02

7.7 实现进程内存读写

内存进程读写可以让我们访问其他进程的内存空间并读取或修改其中的数据。这种技术通常用于各种调试工具、进程监控工具和反作弊系统等场景。在Windows系统中，内存进程读写可以通过一些API函数来实现，如OpenProcess、ReadProcessMemory和WriteProcessMemory等。这些函数提供了一种通用的方式来访问其他进程的内存，并且可以用来读取或写入不同类型的数据，例如整数、字节集、浮点数等。

05

用户层下API的逆向分析及重构

Windows所提供给R3环的API，实质就是对操作系统接口的封装，其实现部分都是在R0实现的。很多恶意程序会利用钩子来钩取这些API，从而达到截取内容，修改数据的意图。现在我们使用ollydbg对ReadProcessMemory进行跟踪分析，查看其在R3的实现。

08

用户层下API的逆向分析及重构

首发于奇安信攻防社区：https://forum.butian.net/share/1318

01

C/C++ 内存读写Lib库简单封装

这是我在上学的时候封装的一个简单的偏移读写lib库，看起来很简单，当时很菜。 /************************************************************* // 声明头文件 #ifndef LyShark__h #define LyShark__h #pragma comment(lib,"LyShark.lib"); extern "C"__declspec(dllexport) int GetProcessID(char *Name); exter

03

C/C++ x32 Inline Hook 代码封装

Hook 技术常被叫做挂钩技术,挂钩技术其实早在DOS时代就已经存在了,该技术是Windows系统用于替代DOS中断机制的具体实现,钩子的含义就是在程序还没有调用系统函数之前,钩子捕获调用消息并获得控制权,在执行系统调用之前执行自身程序,简单来说就是函数劫持.

01

API钩取

继续学习《逆向工程核心原理》，本篇笔记是第四部分：API钩取，主要介绍了调试钩取、DLL注入实现IAT钩取、API代码修改钩取和全局API钩取等内容

02

cs中得argue命令原理解析

在学习通过wmic加载mimikatz的时候，发现一个有趣的现象，也发现了一个事实。

03

readprocessmemory函数分析_in the process

函数原型：BOOL ReadProcessMemory(HANDLE hProcess,LPCVOID lpBaseAddress,LPVOID lpBuffer,DWORD nSize,LPDWORD lpNumberOfBytesRead)；

02

Readprocessmemory用法

函数原型：BOOL ReadProcessMemory(HANDLE hProcess,LPCVOID lpBaseAddress,LPVOID lpBuffer,DWORD nSize,LPDWORD lpNumberOfBytesRead)；

02

6.3 应用动态内存补丁

动态内存补丁可以理解为在程序运行时动态地修改程序的内存，在某些时候某些应用程序会带壳运行，而此类程序的机器码只有在内存中被展开时才可以被修改，而想要修改此类应用程序动态补丁将是一个不错的选择，动态补丁的原理是通过CreateProcess函数传递CREATE_SUSPENDED将程序运行起来并暂停，此时程序会在内存中被解码，当程序被解码后我们则可以通过内存读写实现对特定区域的动态补丁。

02

6.3 应用动态内存补丁

动态内存补丁可以理解为在程序运行时动态地修改程序的内存，在某些时候某些应用程序会带壳运行，而此类程序的机器码只有在内存中被展开时才可以被修改，而想要修改此类应用程序动态补丁将是一个不错的选择，动态补丁的原理是通过CreateProcess函数传递CREATE_SUSPENDED将程序运行起来并暂停，此时程序会在内存中被解码，当程序被解码后我们则可以通过内存读写实现对特定区域的动态补丁。

03

C/C++ x64 Inline Hook 代码封装

Hook 技术常被叫做挂钩技术,挂钩技术其实早在DOS时代就已经存在了,该技术是Windows系统用于替代DOS中断机制的具体实现,钩子的含义就是在程序还没有调用系统函数之前,钩子捕获调用消息并获得控制权,在执行系统调用之前执行自身程序,简单来说就是函数劫持.

03

C#_对内存的操作

最近一直不务正，老打算用C#写个外挂出来。这方面对C#来说是个弱项，但并不表示无法做到。下面写个简单的例子，和大家交流一下。以windows中的扫雷为例，比如说读取雷的数量。 1.首先导入API（对底层的操作都要用API）：

02

4.2 Inline Hook 挂钩技术

InlineHook 是一种计算机安全编程技术，其原理是在计算机程序执行期间进行拦截、修改、增强现有函数功能。它使用钩子函数（也可以称为回调函数）来截获程序执行的各种事件，并在事件发生前或后进行自定义处理，从而控制或增强程序行为。Hook技术常被用于系统加速、功能增强、开发等领域。本章将重点讲解Hook是如何实现的，并手动封装实现自己的Hook挂钩模板。

02

4.2 Inline Hook 挂钩技术

InlineHook 是一种计算机安全编程技术，其原理是在计算机程序执行期间进行拦截、修改、增强现有函数功能。它使用钩子函数（也可以称为回调函数）来截获程序执行的各种事件，并在事件发生前或后进行自定义处理，从而控制或增强程序行为。Hook技术常被用于系统加速、功能增强、开发等领域。本章将重点讲解Hook是如何实现的，并手动封装实现自己的Hook挂钩模板。

03

error at hooking api ntprotect_read,match and write

编译环境：delphi 2010+windows 7 u ，用途读取其他程序中readprocessmemory和writeprocessmemory的参数，但不知读取偏移即a+($b),b是怎么读的

03

【逆向专题】【危！！！刑】（一）使用c#+Win32Api实现进程注入到wechat

自从上篇使用Flaui实现微信自动化之后，这段时间便一直在瞎研究微信这方面，目前破解了Window微信的本地的Sqlite数据库，使用Openssl，以及Win32Api来获取解密密钥，今天作为第一张，先简单写一下，获取微信的一些静态数据，以及将自己写的c语言dll通过Api注入到微信进程里面去，最后调用我们的dll的方法。话不多说，让我们开始吧。

02

Shellcode 技术

转载：https://vanmieghem.io/blueprint-for-evading-edr-in-2022/

02

植物大战僵尸辅助

孩子一直迷恋植物大战僵尸这款游戏，从一开始的水平不行，到后来经常看植物大战僵尸的过关视频来提升自己的游戏水平，到现在游戏是玩的越来越好了，至少感觉植物大战僵尸这个游戏水平比我强很多。

03

自由控制程序运行方式的编程技巧

本篇继续阅读学习《有趣的二进制：软件安全与逆向分析》，本章是自由控制程序运行方式的编程技巧，主要介绍调试器的原理、代码注入和API钩子

01

RedTeamTips--PEB隐藏

文章前先给各位师傅拜个早年啦，要过年了，公众号也会停更一段时间，年后回复啦。这篇文章中，我们将介绍如何来隐藏你程序的PEB信息。首先先来了解一下什么是PEB，其全程为Process Envirorment Block ，直译过来就是进程环境信息块，存放进程信息，每个进程都有自己的PEB信息。位于用户地址空间。其结构如下：

02

createprocess error=2_CreateProcess

代码示例，注意下面的代码可能运行失败，请按照如下设置VS 右键项目名（例如ConsoleApplication123）->属性->配置属性（注意左上角是活动Debug/Debug/Release/所有配置，比如选了Release则在Debug下无效）->链接器->清单文件->UAC执行级别->requireAdministrator 然后关闭visual studio，以管理员身份运行visual studio

01

C++内存加密动态免杀defender

一种规避杀软检测的技术就是内存加密技术。由于杀软并不是一直扫描内存，而是间隙性的扫描敏感内存，因此可以在cs的shellcode调用sleep休眠将可执行内存区域加密，在休眠结束时再将内存解密来规避杀软内存扫描达到免杀的目的。

06

实战 | 进程伪装的思路和研究

当我们获取到一台主机的权限过后，拿到了自己想要搜集的信息，这时候我们就会留一个后门进行权限维持，权限维持的学问其实很深，今天就主要介绍其中一种比较简单的权限维持的方法 -- 进程伪装。

02

PVZ逆向分析与C#内存操作(含源文件)

显然地址0x144344C8保存的就是阳光，现在退出游戏重新打开，重复上面步骤

02

进程伪装详解

当我们获取到一台主机的权限过后，拿到了自己想要搜集的信息，这时候我们就会留一个后门进行权限维持，权限维持的学问其实很深，今天就主要介绍其中一种比较简单的权限维持的方法 -- 进程伪装。

00

读取与修改其他程序的数据Read/WriteProcessMemory[通俗易懂]

一、1.windows系统为每个程序分配4GB的虚拟内存，虚拟内存由“页文件”实现。

02

截取程序的网络封包（Delphi Hook API）

有时候我们需要对其它应用程序发送和接收的网络数据进行拦截,比如要对IE发送的**头进行分析,得到请求的地址等.这次我们可以用一些例如WPE, Sniffer之类的工具来达到目的.但是工具功能有限,要想实现更强大的功能,还是我们自己动手来DIY吧. 拦截网络数据封包的方法有三种,一是将网卡设为混杂模式,这次就可以监视到局域网上所有的数据包,二是HOOK目标进程的发送和接收的API函数,第三种方法是自己实现一个代理的DLL.在这里我们使用HOOK API的方法,这样易于实现,而且也不会得到大量的无用数据(如第一种方法就会监视到所有的网络数据). 下面是一个尽量简化了的API HOOK的模版,原理是利用消息钩子将DLL中的代码注入到目标进程中,再用GetProcAddress得到API函数入口地址,将函数入口址改为自己定义的函数入口,这样就得到了API函数的相应参数,处理完后,再改回真实API函数入口地址,并调用它. HOOK.DLL的代码:

05

进程伪装详解

当我们获取到一台主机的权限过后，拿到了自己想要搜集的信息，这时候我们就会留一个后门进行权限维持，权限维持的学问其实很深，今天就主要介绍其中一种比较简单的权限维持的方法 -- 进程伪装。

04

C/C++ 遍历任务栏托盘图标

托盘图标，就是底部任务栏托盘，可以直接遍历，如果需要输出任务栏中的图片内容可使用如下方式。

01

10.3 调试事件转存进程内存

我们继续延申调试事件的话题，实现进程转存功能，进程转储功能是指通过调试API使获得了目标进程控制权的进程，将目标进程的内存中的数据完整地转存到本地磁盘上，对于加壳软件，通常会通过加密、压缩等手段来保护其代码和数据，使其不易被分析。在这种情况下，通过进程转储功能，可以将加壳程序的内存镜像完整地保存到本地，以便进行后续的分析。

01

10.1 调试事件读取寄存器

当读者需要获取到特定进程内的寄存器信息时，则需要在上述代码中进行完善，首先需要编写CREATE_PROCESS_DEBUG_EVENT事件，程序被首次加载进入内存时会被触发此事件，在该事件内首先我们通过lpStartAddress属性获取到当前程序的入口地址，并通过SuspendThread暂停程序的运行，当被暂停后则我没就可以通过ReadProcessMemory读取当前位置的一个字节机器码，目的是保存以便于后期的恢复，接着通过WriteProcessMemory向对端(void*)dwAddr地址写出一个0xCC断点，该断点则是int3停机指令，最后ResumeThread恢复这个线程的运行，此时程序中因存在断点，则会触发一个EXCEPTION_DEBUG_EVENT异常事件。

02

10.3 调试事件转存进程内存

我们继续延申调试事件的话题，实现进程转存功能，进程转储功能是指通过调试API使获得了目标进程控制权的进程，将目标进程的内存中的数据完整地转存到本地磁盘上，对于加壳软件，通常会通过加密、压缩等手段来保护其代码和数据，使其不易被分析。在这种情况下，通过进程转储功能，可以将加壳程序的内存镜像完整地保存到本地，以便进行后续的分析。

02

Java - 游戏内存外挂

什么是游戏外挂？试想场景，在玩游戏时，没有得到良好的游戏体验，加之玩游戏的这位又是偏激之人，此时心生愤怒，但通过自己的游戏技术，又无法得到发泄。所以很无奈，只能打开一种游戏作弊程序，这种游戏作弊程序就叫做游戏外挂。

06

10.1 调试事件读取寄存器

当读者需要获取到特定进程内的寄存器信息时，则需要在上述代码中进行完善，首先需要编写CREATE_PROCESS_DEBUG_EVENT事件，程序被首次加载进入内存时会被触发此事件，在该事件内首先我们通过lpStartAddress属性获取到当前程序的入口地址，并通过SuspendThread暂停程序的运行，当被暂停后则我没就可以通过ReadProcessMemory读取当前位置的一个字节机器码，目的是保存以便于后期的恢复，接着通过WriteProcessMemory向对端(void*)dwAddr地址写出一个0xCC断点，该断点则是int3停机指令，最后ResumeThread恢复这个线程的运行，此时程序中因存在断点，则会触发一个EXCEPTION_DEBUG_EVENT异常事件。

02

C ReadProcessMemory

转载于:https://www.cnblogs.com/alsofly/p/3734811.html

01

readprocessmemory函数分析_max函数用法

函数功能描述:该函数用来读取指定进程的空间的数据,此空间必须是可以访问的,否则读取操作会失败!

01

对windows密码抓取神器mimikatz的逆向分析

mimikatz可谓获取windows明文密码神器，新版本更是加上了64位支持。用过一个小型获取明文密码程序，只有一个可执行文件ReadPSW.exe，通过逆向写出了源代码，稍微改改可能也可以支持64位。分享一下逆向过程和工作原理。 FreeBuf科普：了解mimikatz 只要借用一下电脑，便可轻松拿到密码……“女神，借用电脑一看可否？” 大神们都知道的东西吧，渗透测试常用工具。法国一个牛B的人写的轻量级调试器，可以帮助安全测试人员抓取Windows密码。 mimikatz 最近发布了它的2.0版本，

08

readprocessmemory error 299

I try to read all commited pages of a process (Win7-64). On most pages it works but it fails for a few pages. I cannot explain why. Here is my test programme (compiled x32, tested in Win7-64):

02

C/C++ 程序反调试方法总结

C/C++ 要实现程序反调试有多种方法，BeingDebugged，NtGlobalFlag，ProcessHeap，CheckRemoteDebuggerPresent，STARTUPINFO，IsDebuggerPresent，父进程检测，TLS 线程局部存储，RDTSC时钟检测反调试，MapFileAndCheckSum，等都可实现反调试，这里我分别编写了一些案例，基本上一锅端了。

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭