c++ - 获取基地址不起作用

Question

我需要 exe“tibia.exe”的基地址。这是我到目前为止得到的，但它不起作用。它总是返回 0。

怎么了？

DWORD MainWindow::getBaseAddress(DWORD dwProcessIdentifier)
{
    TCHAR lpszModuleName[] = {'t','i','b','i','a','.','e','x','e','\0'}; //tibia.exe
    HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,
                                                dwProcessIdentifier);
    DWORD dwModuleBaseAddress = 0;
    if(hSnapshot != INVALID_HANDLE_VALUE)
    {
        MODULEENTRY32 ModuleEntry32;
        ModuleEntry32.dwSize = sizeof(MODULEENTRY32);
        if(Module32First(hSnapshot, &ModuleEntry32))
        {
            do
            {
                if( wcscmp(ModuleEntry32.szModule, lpszModuleName) == 0)
                {
                    dwModuleBaseAddress = (DWORD)ModuleEntry32.modBaseAddr;
                    break;
                }
            }
            while(Module32Next(hSnapshot, &ModuleEntry32));
        }
        CloseHandle(hSnapshot);
    }
    return dwModuleBaseAddress;
}

//Call it here
tibiaWindow = FindWindow( L"TibiaClient", NULL);

DWORD PID;
GetWindowThreadProcessId( tibiaWindow, &PID );
DWORD baseAddress = getBaseAddress( PID );

if( baseAddress == 0 )
    return false ;

Answer 1

也许这只是因为我在 ToolHelp32 可用之前使用它们(至少在基于 NT 的操作系统上)，但我倾向于使用 PSAPI 函数来完成此类任务。使用它们，代码将如下所示:

#include <windows.h>
#include <string>
#include <psapi.h>
#include <iostream>

int main(int argc, char **argv) {

    HANDLE process = GetCurrentProcess();

    if (argc != 1)
        process = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, false, atoi(argv[1]));

    HMODULE handles[2048];
    DWORD needed;
    EnumProcessModules(process, handles, sizeof(handles), &needed);

    for (int i = 0; i < needed / sizeof(handles[0]); i++) {
        MODULEINFO info;
        char name[1024];
        GetModuleBaseName(process, handles[i], name, sizeof(name));
        if (std::string(name).find(".exe") != std::string::npos) {
            GetModuleInformation(process, handles[i], &info, sizeof(info));
            std::cout << name << ": " << info.lpBaseOfDll << "\n";
            break;
        }
    }
}

就目前而言，这将让您在命令行上输入一个进程 ID，并显示它在该进程中找到的第一个模块的加载地址，该模块的名称包含“.exe”。如果您不指定进程 ID，它将搜索自己的进程(演示函数如何工作，但在其他方面几乎没有用)。

使用 ToolHelp32 或 PSAPI，您最终会遇到类似的限制:您需要将其编译为 64 位可执行文件，以便它能够“查看”其他 64 位进程(即，当编译为 32-位代码，他们只能看到其他 32 位进程)。

还有一些进程(例如 CSRSS.exe)无法成功打开/枚举。据我所知，使用 PSAPI 与 ToolHelp32 时相同的过程会成功/失败。

与 ToolHelp32 相比，PSAPI 确实有点笨拙:处理(良好)具有大量模块的进程是笨拙的(充其量)。您调用 EnumProcessModules，如果您没有为足够的模块提供空间，“Needed”参数将设置为它包含的模块数量所需的空间。但是存在竞争条件:在返回时间和您再次调用 EnumProcessModules 之间，进程可能加载了更多 DLL，因此第二次调用可能会以同样的方式失败。

目前，我假设没有进程会使用超过 2048 个模块。真正正确的是，你应该有一个从零空间开始的 while 循环(或者可能是一个 do/while 循环)，调用 EnumProcessModules 来找出需要多少空间，分配它(也许用以防它加载更多 DLL)并重复直到成功。