如何使用 VirtualQueryEx 在 Go 中检索进程内存信息？

IT行业相对于一般传统行业，发展更新速度更快，一旦停止了学习，很快就会被行业所淘汰。所以我们需要踏踏实实的不断学习，精进自己的技术，尤其是初学者。今天golang学习网给大家整理了《如何使用 VirtualQueryEx 在 Go 中检索进程内存信息？》，聊聊，我们一起来看看吧！

我正在尝试将 pshunt (https://github.com/infatory/pshunt/blob/master/surveys/sur​​vey.ps1) 的特定功能移植到 go。具体来说，我尝试使用 virtualqueryex 迭代进程内存的页面，如以下 powershell 片段所示：

# get handle to the process
$hprocess = $kernel32::openprocess(0x400, $false, $processid) # process_query_information (0x00000400)

if (-not $hprocess) {
    throw "unable to get a process handle for process id: $processid"
}

$memoryinfo = new-object $memory_basic_information
$bytesread = $kernel32::virtualqueryex($hprocess, $modulebaseaddress, [ref] $memoryinfo, $pagesize)

$null = $kernel32::closehandle($hprocess)

请注意，上面的代码是通过以下方式从不同的函数调用的：$memoryinfo = get-virtualmemoryinfo -processid $processid -modulebaseaddress ([intptr]::zero) -pagesize $sysinfo.pagesize

我在 go 中的实现如下所示：

var systemInfo SYSTEM_INFO
getSystemInfo := 
kernel32dll.NewProc("GetSystemInfo")
_, _, err = getSystemInfo.Call(uintptr(unsafe.Pointer(&systemInfo)))

openProcess := kernel32dll.NewProc("OpenProcess")
hProcess, _, err := openProcess.Call(uintptr(0x410), uintptr(0), uintptr(processId))
fmt.Println("Message from OpenProcess:",err.Error())
defer windows.CloseHandle(windows.Handle(hProcess))

var memoryBasicInformation MEMORY_BASIC_INFORMATION
dll := syscall.MustLoadDLL("kernel32.dll")
defer dll.Release()

virtualQueryEx := dll.MustFindProc("VirtualQueryEx")

bytesRead, _, err := virtualQueryEx.Call((uintptr)(unsafe.Pointer(hProcess)), (uintptr)(unsafe.Pointer(????)), (uintptr)(unsafe.Pointer(&memoryBasicInformation)), (uintptr)(unsafe.Pointer(&systemInfo.PageSize)))
fmt.Println("Bytes read:",bytesRead)
fmt.Println("Message from VirtualQueryEx:", err.Error())

无论我做什么，virtualqueryex都会返回“对内存位置的访问无效。”。我无法弄清楚要传递什么值作为进程的基地址（上面用“？？？”表示）。 microsoft 文档说此参数是可选的，但如果我将其留空，则会收到有关命令长度不正确的错误。

正如我所提到的，我的目标是从流程的基础开始，并通过循环扫描整个过程，这将在首次调用 virtualqueryex 之后发生。

作为参考，我正在使用 go syscall 库（在本例中；尽管我也尝试过 sys/windows 库但无济于事。）

如果我可以澄清任何事情，请告诉我。

解决方案

每个进程都有自己的地址空间。如果访问不属于自己的内存地址，则可能会导致“无效访问内存位置”。

首先，设置“lpaddress”（我的意思是“？？？”）从零开始。（通常你会得到进程基址和零地址之间的偏移量）

然后检查memorybasicinformation.allocationprotect和memorybasicinformation.protect的值，判断是否有访问权限。

使用

lpAddress = memoryBasicInformation.BaseAddress + memoryBasicInformation.RegionSize

然后继续使用virtualqueryex()。 当 lpaddress 指定的地址高于进程可访问的最高内存地址时，该函数将失败并返回 error_invalid_parameter，并中断循环。

本篇关于《如何使用 VirtualQueryEx 在 Go 中检索进程内存信息？》的介绍就到此结束啦，但是学无止境，想要了解学习更多关于Golang的相关知识，请关注golang学习网公众号！