VirtualQueryEx详解

最新推荐文章于 2025-06-05 09:01:51 发布
原创 最新推荐文章于 2025-06-05 09:01:51 发布 · 1.2w 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了Windows API函数VirtualQueryEx的功能及使用方法。该函数用于获取指定进程中的内存区域信息,包括区域的基地址、分配保护属性、状态和类型等。通过实例展示了如何判断多个内存块是否属于同一区域。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

DWORD VirtualQueryEx(
HANDLE hProcess, // 想要查询的地址空间所属的进程的句柄
LPCVOID lpAddress, // 区域地址
PMEMORY_BASIC_INFORMATION lpBuffer, // 结构缓冲区
SIZE_T dwLength // 结构大小
);
返回值:被填充的区域的字节数目
如果返回的字节数目和MEMORY_BASIC_INFORMATION 结构的数目相等则表示执行成功否则为执行失败

typedef struct _MEMORY_BASIC_INFORMATION {
PVOID BaseAddress;
PVOID AllocationBase;
DWORD AllocationProtect;
SIZE_T RegionSize;
DWORD State;
DWORD Protect;
DWORD Type;
} MEMORY_BASIC_INFORMATION, *PMEMORY_BASIC_INFORMATION;
这里写图片描述
需要说明的是一个区域中地址中地址空间块的数量也是可以计算的(备忘)
如果几个块AllocationBase相同,但是BaseAddress不同,则表明他们属于同一个块
举个例子
AllocationBase:00030000
AllocationProtect:PAGE_READWRITE
BaseAddress:00030000
Protect:Unknow
RegionSize:fd000
State:MEM_RESERVE
Type:MEM_PRIVATE

AllocationBase:00030000
AllocationProtect:PAGE_READWRITE
BaseAddress:0012D000
Protect:Unknow
RegionSize:1000
State:MEM_COMMIT
Type:MEM_PRIVATE

AllocationBase:00030000
AllocationProtect:PAGE_READWRITE
BaseAddress:0012E000
Protect:PAGE_READWRITE
RegionSize:2000
State:MEM_COMMIT
Type:MEM_PRIVATE
这三个块的AllocationBase都为0x00030000,但是BaseAddress不一样,所以,这三个块同属一个区域

baidu_25539425
关注
7.1 实现进程内存块枚举
优快云
09-22 5527
在`Windows`操作系统中,每个进程的虚拟地址空间都被划分为若干内存块,每个内存块都具有一些属性,如内存大小、保护模式、类型等。这些属性可以通过`VirtualQueryEx`函数查询得到。该函数可用于查询进程虚拟地址空间中的内存信息的函数。它的作用类似于`Windows`操作系统中的`Task Manager`中的进程选项卡,可以显示出一个进程的内存使用情况、模块列表等信息。使用`VirtualQueryEx`函数,可以枚举一个进程的所有内存块。该函数需要传入要查询的进程的句柄、基地址和一个`ME
基于Windows Mobile 6的VirtualQueryEx函数实现。
weixin_33860528的博客
04-06 349
VirtualQueryEx这个函数很有用,可以用于查询目标进程地址空间中内存地址的信息。但此函数在Win CE 6.0以前是不被支持的(Windows Mobile 6是基于WinCE 5.2的)。 不过也不是没有办法的,WinCE中有一未公开API:PerformCallBack4。函数声明如下: extern "C" DWORD WINAPI PerformCallBack4(CALLB...
Delphi中获取系统进程列表的实践指南
weixin_33670640的博客
06-05 919
在操作系统中,进程是指一个正在执行的程序的实例。一个进程通常由程序代码、数据集合、进程控制块(PCB)等组成。系统进程列表就像是系统运行状态的一个快照,列出了当前所有活跃的进程及其相关信息。这些信息对于系统管理员、软件开发者来说至关重要,因为它可以帮助他们了解系统的运行状况,进行系统监控、优化性能、调试程序以及进行安全审计等。Windows API(Application Programming Interface)是微软操作系统为应用程序提供的一组预定义的函数和程序接口。
使用VirtualQuery查看内存页面信息
lcr312的专栏
09-07 6570
<br />本文介绍了使用VirtualQuery函数查看进程内存地址空间的页面分配情况,并给出了一个例程。<br /><br />1 Win32内存布局简介<br /><br />在16位CPU的时代,受寻址范围的限制,系统所能使用的内存空间是非常少的。据说当年Bill Gates曾说过“640K内存对任何人来说都够用了”,现在看来似乎很好笑,不过做过DOS编程的人大概都还会怀念那个时代。后来有了386,有了保护模式,有了虚拟内存,多任务终于成为现实。<br /><br />在Win32环境下,寻址不再需
获取内存中块的信息(VirtualQuery)
萧戈的专栏
11-28 7216
 Retrieves information about a range of pages in the virtual address space of the calling process. To retrieve information about a range of pages in the address space of another process, use the
使用VirtualQuery查询虚拟内存分配
宇文的专栏
03-15 7907
#include "iostream.h"#include "windows.h"VOID * pAddress=NULL;char path[512]={0};MEMORY_BASIC_INFORMATION t; main(){ DWORD dwResult=VirtualQuery(pAddress,&t,sizeof(MEMORY_BASIC_INFORMA
通过VirtualQuery获取当前模块的句柄
随心散人专栏
07-06 3725
HMODULE ModuleFromAddress( PVOID pv ){ MEMORY_BASIC_INFORMATION mbi; if(::VirtualQuery(pv, &mbi, sizeof(mbi)) != 0) {  return (HMO
VB程序读写内存技术详解
此外,在进行内存操作时,还可能需要使用其他辅助函数和数据结构,比如`VirtualQueryEx`来查询进程的内存区域,或`PAGE_EXECUTE_READWRITE`等常量来设置内存保护属性。 最后,VB作为编程语言,其能力在不同版本中也...
易语言实现读取QQ号功能详解
9. `VirtualQueryEx`:此函数用于获取关于进程虚拟地址空间的信息,比如内存区域的大小和保护属性。 10. `十六转十`:这是一个函数或者过程,用于将十六进制数值转换为十进制数值。 11. `...
远程进程DLL卸载技术详解及VC源代码实现
- `VirtualQueryEx`:获取远程进程的内存区域信息。 - `WriteProcessMemory`:向远程进程的内存空间写入数据。 - `VirtualProtectEx`:修改远程进程内存区域的保护属性。 - `CreateToolhelp32Snapshot`:获取系统中...
Windows回调函数:消息与事件驱动机制详解
回调函数的一个典型例子是与Windows API中的SetWindowsHookEx函数相关的钩子函数,尽管这个名字有时也被用于指代由VirtualQueryEx安装的函数,但这通常指的是特定类型的回调。钩子函数在系统事件处理中特别重要,...
C++回调函数详解:机制、声明与应用实例
另外,某些情况下,如使用`VirtualQueryEx`安装的函数也可能被称为钩子函数,但这不是标准术语。 3. **回调函数调用机制的起源**: - 回调函数的调用机制可以追溯到汇编语言,通过设置断点并提供一个可跳转的地址...
学HOOK学的 API 函数、、VirtualQuery、、VirtualProtect、、 WriteProcessMemory
weixin_33785972的博客
07-21 612
先说一下MEMORY_BASIC_INFORMATION这个结构、、typedefstruct_MEMORY_BASIC_INFORMATION {PVOID BaseAddress;//区域基地址。与VirtualQuery函数的第一个参数lpAddr相同PVOID AllocationBase; //分配基地址指明用VirtualAlloc函数分配内存...
VirtualQuery获取dll 完整路径
x
05-08 442
直接通过代码段函数获取 -> VirtualQuery 获取mbi.AllocationBase 基地址 1.函数在exe中获取exe路径,此函数在exe的基地址中 2.函数在dll中获取dll路径,此函数在dll的基地址中 void fuck_it(){ } void getModulePath(){ MEMORY_BASIC_INFORMATION mbi; // 根据fuck_it 函数所在的代码段获取 VirtualQuery(...
VirtualAlloc|VirtualFree|VirtualCopy |VirtualProtect |VirtualQuery - WINDOWS API 第七弹 为进程申请虚拟内存
Bobowen的博客
01-04 2710
我们知道计算机为了更加高效的使用物理内存,设计出了虚拟内存给进程使用,进程需要运行的话只需要将虚拟内存映射到物理内存即可,当然这也属于非常繁琐的计算机科学了,我们一步一步揭开这个api的神秘面纱吧。vitualalloc系列的函数实现了windows进程虚拟内存向物理内存的转换,是比较底层和重要的api。还有一些,这些大家自己去找吧。夜已深,好梦。
检索的页面的虚拟空间信息
qq_39826592的博客
09-22 231
HMODULE GetModuleHandle(LPCTSTRlpModuleName); 实例: //获取当前进程的模块句柄(获取当前模块的基址); HMODULE hMode = GetModuleHandle(nullptr); 功能说明 获取一个特定的应用程序或动态链接库的模块句柄,且这个模块必须已经被加载到调用者的进程空间中。 参数说明 lpM
用VMQuery查询虚拟地址空间(虚拟内存)的使用情况
软件人生
09-13 2338
        虚拟地址空间,是指进程的可编程地址空间。对于32位系统,这个空间是4G。默认情况下,用户可以使用低地址的2G,高地址的2G是操作系统使用。虚拟地址空间也可以叫虚拟内存,但不能和系统设置中的设置虚拟内存(也叫页交换文件)大小,搞混了。有些名词在出现在不同的地方,其含义是完全不同,最好是用有区分的叫法。      虚拟地址空间的使用,需要两个步骤。第一,预留。第二,提交。预留会预定一块虚拟地址空间,当并不分配物理存储器。提交时才会真正分配物理存储器。通过VirtualAlloc函数实现这两个操作
读取指定进程内存信息 - 特征码秒级匹配
zsr154278963的博客
07-31 846
在Windows系统中,访问进程的内存时经常会遇到Error 299,这表示“部分读取请求已完成”。这通常发生在尝试读取的内存块跨越了可访问和不可访问的内存区域。为了避免这个问题,我们可以在读取内存时使用函数,来获取每个内存块的状态和大小。然后只读取那些可以访问的内存区域。
aardio VirtualQueryEx
最新发布
06-07
<think>嗯,用户这次询问的是aardio中VirtualQueryEx函数的用法和示例。根据之前的系统指令,我需要用规范的中文回复,并确保代码格式正确。用户应该是在Windows系统编程领域工作,可能正在开发需要查询进程内存的工具或调试器。从引用内容看,VirtualQueryEx在aardio中的使用需要转换WINAPI接口,这一点很关键。aardio调用WindowsAPI的函数原型声明和.NET调用类似。首先要声明API的函数签名:-第一个参数hProcess是进程句柄-lpAddress是要查询的起始地址-lpBuffer接收信息的结构体-dwLength是结构体大小MEMORY_BASIC_INFORMATION结构体需要对应到aardio的class。结构体包含分配基址、分配保护属性、区域大小等字段。在aardio中可以用classMemoryBasicInformation定义这个结构,注意每个字段类型必须匹配。进程句柄获取可以用Kernel32.dll里的OpenProcess函数。查询结束后需要CloseHandle避免泄漏。用户可能实际想追踪内存变化,可以建议增加循环连续查询内存区域变化作为扩展方向。特别要注意aardio调用API后判断返回值是否等于sizeof(MEMORY_BASIC_INFORMATION)来验证成功。错误处理很重要。最后给出完整示例代码,包括:声明API、定义结构体、打开进程、查询内存、输出信息、关闭句柄的完整流程。代码中加入中文注释方便理解。</think> 下面是aardio中调用`VirtualQueryEx`函数的完整用法说明和示例代码: ### 一、函数声明 aardio中需先声明WINAPI函数: ```aardio // 声明VirtualQueryEx VirtualQueryEx = ::Kernel32.api("VirtualQueryEx", "int(int hProcess, int lpAddress, struct& lpBuffer, int dwLength)") // 定义MEMORY_BASIC_INFORMATION结构 class MEMORY_BASIC_INFORMATION { int BaseAddress; // 区域基地址 int AllocationBase; // 分配基地址 int AllocationProtect; // 初始保护属性 int RegionSize; // 区域大小(字节) int State; // 内存状态(MEM_COMMIT等) int Protect; // 当前保护属性(PAGE_READWRITE等) int Type; // 内存类型(MEM_PRIVATE等) } ``` ### 二、使用示例 ```aardio // 获取当前进程句柄 hProcess = ::Kernel32.GetCurrentProcess() // 初始化结构体 mbi = MEMORY_BASIC_INFORMATION() // 从0x00400000地址开始查询 lpAddress = 0x00400000 dwLength = sizeof(mbi) // 调用函数 ret = VirtualQueryEx(hProcess, lpAddress, mbi, dwLength) if(ret == dwLength) { // 校验返回字节数 import console; console.log("内存区域信息:") console.log("基地址:", string.format("0x%08X", mbi.BaseAddress)) console.log("区域大小:", mbi.RegionSize, "字节") console.log("保护属性:", mbi.Protect) // 如0x04=PAGE_READWRITE } else { error("查询失败!错误代码:" + ::Kernel32.GetLastError()) } ``` ### 三、关键参数说明 1. **hProcess**:目标进程句柄 - 获取当前进程:`::Kernel32.GetCurrentProcess()` - 打开其他进程:`::Kernel32.OpenProcess()` (需权限) 2. **lpAddress**:要查询的起始内存地址 - 推荐地址:`0x00400000`(典型程序入口) 3. **返回值校验** 成功时返回写入结构体的字节数,必须等于`sizeof(MEMORY_BASIC_INFORMATION)`(典型为28字节) ### 四、应用场景 1. 检测内存页属性(如判断是否可执行) 2. 定位内存区域边界(如扫描内存时跳过保留区) 3. 内存泄露检测(配合遍历所有内存区域) > 注意:在aardio中必须手动声明WINAPI函数原型和数据结构,这与C++头文件自动转换不同[^2][^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值