讀寫內存 大概輪廓

ReadProcessMemory 讀另一個進程的內存，原形如下：
BOOL ReadProcessMemory(
HANDLE hProcess, // 被讀取進程的句柄；
LPCVOID lpBaseAddress, // 讀的起始地址；
LPVOID lpBuffer, // 存放讀取數據緩衝區；
DWORD nSize, // 一次讀取的字節數；
LPDWORD lpNumberOfBytesRead // 實際讀取的字節數；
);
hProcess 進程句柄可由OpenProcess 函數得到，原形如下：
HANDLE OpenProcess(
DWORD dwDesiredAccess, // 訪問標誌；
BOOL bInheritHandle, // 繼承標誌；
DWORD dwProcessId // 進程ID；
);

---- 當然，用完別忘了用 CloseHandle 關閉打開的句柄。讀另一個進程的內存 dwDesiredAccess 須指定爲 PROCESS_VM_READ ，寫另一個進程的內存 dwDesiredAccess 須指定爲 PROCESS_VM_WRITE ，繼承標誌無所謂，進程ID可由 Process32First 和 Process32Next 得到，這兩個函數可以枚舉出所有開啓的進程，這樣進程的信息也就得到了。 Process32First 和 Process32Next是由 TLHelp32 單元提供的，需在 uses 里加上TLHelp32。ToolsHelp32 封裝了一些訪問堆、線程、進程等的函數，只適用於Win9x，原形如下：

BOOL WINAPI Process32First(
HANDLE hSnapshot //
由 CreateToolhelp32Snapshot 返回
的系統快照句柄；
LPPROCESSENTRY32 lppe // 指向一個 PROCESSENTRY32 結構；
)；
BOOL WINAPI Process32Next(
HANDLE hSnapshot // 由 CreateToolhelp32Snapshot 返回
的系統快照句柄；
LPPROCESSENTRY32 lppe // 指向一個 PROCESSENTRY32 結構；
)；
hSnapshot 由 CreateToolhelp32Snapshot 返回的系統快照句柄；
CreateToolhelp32Snapshot 原形如下：
HANDLE WINAPI CreateToolhelp32Snapshot(
DWORD dwFlags, // 快照標誌；
DWORD th32ProcessID // 進程ID；
);
現在需要的是進程的信息，所以將 dwFlags
指定爲 TH32CS_SNAPPROCESS，
th32ProcessID 忽略；PROCESSENTRY32 結構如下：
typedef struct tagPROCESSENTRY32 {
DWORD dwSize; // 結構大小；
DWORD cntUsage; // 此進程的引用計數；
DWORD th32ProcessID; // 進程ID;
DWORD th32DefaultHeapID; // 進程默認堆ID；
DWORD th32ModuleID; // 進程模塊ID；
DWORD cntThreads; // 此進程開啓的線程計數；
DWORD th32ParentProcessID;// 父進程ID；
LONG pcPriClassBase; // 線程優先權；
DWORD dwFlags; // 保留；
char szExeFile[MAX_PATH]; // 進程全名；
} PROCESSENTRY32;  

---- 至此，所用到的主要函數已介紹完,實現讀內存只要從下到上依次調用上述函數即可，具體參見原代碼：

 HANDLE hProcess;
 HANDLE hSnapshot;
 
 PROCESSENTRY32 FProcessEntry32;
 DWORD th32ProcessID;

 hSnapshot=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
 FProcessEntry32.dwSize=sizeof(FProcessEntry32);
    int Flag=0;
 if(Process32First(hSnapshot,&FProcessEntry32))
 {
  do
  {
   if((CString)FProcessEntry32.szExeFile=="文件加密.EXE")
   {
    Flag=1;
    break;
   }
  }while (Process32Next(hSnapshot, &FProcessEntry32));

  if(Flag==1)
  {
   this->MessageBox(FProcessEntry32.szExeFile);
   th32ProcessID=FProcessEntry32.th32ProcessID;
   DWORD nSize;
   nSize=4;
   char * buff;

   buff=(char*)GlobalAlloc(GMEM_FIXED | GMEM_ZEROINIT,nSize);
   hProcess=OpenProcess(PROCESS_VM_READ,false,th32ProcessID);

   DWORD   dwRead;  
   ReadProcessMemory(hProcess,(LPCVOID)0x000283a2,buff,nSize,&dwRead);  //??
   this->MessageBox((CString)buff);
   
   GlobalFree(buff);
  }
  
 }

 CloseHandle(hSnapshot);

//2種

1.通過FindWindow讀取窗體的句柄

2.通過GetWindowThreadProcessId讀取查找窗體句柄進程的PID值

3.用OpenProcess(PROCESS_QUERY_INFORMATION Or PROCESS_VM_OPERATION Or PROCESS_VM_READ Or PROCESS_VM_WRITE, 0, ProcessId)打開查到PID值的進程. 此打開具備 讀取,寫入,查詢的權限

4.ReadProcessMemory讀出指定的內存地址數據