易语言X64位进程内存搜索技术
目录
易语言X64位进程内存搜索技术
上一篇我们讲解了32位程序进程内存搜索方法:
本节呢,来讲解下64位程序进程内存搜索,
因为不少学员跟我们工作客服反映,现在有不少新出的游戏都是64位程序了,而且对CE非常不友好,
检测CE导致搜索内存地址,分析数据信息困难,建议我在Game-EC 驱动模块 8.5.2 版本开发64位进程的内存搜索功能。
所以考虑到这点,于是我就开发了支持64位程序进程内存搜索,先来介绍下驱动模块里这个功能吧
=================================================================================================
子程序名:X64进程_内存搜索
支持win7/win10 系统64位进程内存搜索内存
返回值类型:长整数型
参数<1>的名称为“进程句柄”,类型为“整数型”。
参数<2>的名称为“起始地址”,类型为“长整数型”。
参数<3>的名称为“结束地址”,类型为“长整数型”。注明:进制_十六到长整 (“7fffffffffffffff”)。
参数<4>的名称为“搜索数据”,类型为“字节集”。
参数<5>的名称为“找到结果”,类型为“长整数型”, 注明:存放到匹配的数据 内存地址。
参数<6>的名称为“快速搜索”,类型为“逻辑型”,允许接收空参数。
参数<7>的名称为“是否静态”,类型为“逻辑型”,允许接收空参数。注明:默认=假(动态与静态的地址) 填写 真(只搜静态的地址)。
参数<8>的名称为“对齐”,类型为“整数型”,允许接收空参数。与CE工具对齐功能一致
================================================================================================大家都知道win7 64位系统里计算器是64位程序普通的内存搜索是不能进行搜索内存的
下面我们来设计一个像CE一样的软件窗口,并且写成跟CE一样的功能:
下面是整个EXE的代码:
获取系统所有进程信息代码
搜索内存代码:
在用CE搜索的结果和我们写的程序搜索的结果是一样的:
再换个数值搜索下也是一样的:
我们的X64内存搜索,可选择只搜索静态地址的地址,这样可以直接快速的找到没有偏移量的数据基址噢,这个功能的扩展性非常强大
可以应用在对CE工具有检测(开了CE就不能游戏)的64位游戏,也用它来写成一个DLL式的CE工具,然后注入到64位进程游戏进行搜索内存数据噢。在目前为止,国内网络上众多的易语言模块中,X64内存搜索的只有我们的驱动模块才有。
下面是源码: