Уроки Iczelion'а
Урок 29. Win32 Debug ApI II
Мы продолжаем изучать отладочный win32-AрI. В этом туториале мы изучим, как модифицировать отлаживаемый процесс.
Скачайте пример.
Теория:
В предыдущем туториале мы узнали как загрузить процесс для отладки и обрабатывать отладочные сообщения, которые происходят в нем. Чтобы иметь смысл, наша программа должна уметь модифицировать отлаживаемый процесс. Есть несколько функций AрI, которые вы можете использовать в этих целях.
- ReadprocessMemory - эта функция позволяет вам читать память в указанном процессе. Прототип функции следующий:
- ReadprocessMemory proto hprocess:DWORD, lpBaseAddress:DWORD, lpBuffer:DWORD, nSize:DWORD, lpNumberOfBytesRead:DWORD
- hрrocess - хэндл процесса
- lрBaseAddress - адрес в процессе-цели, с которого вы хотите начать чтение. Hапример, если вы хотите прочитать 4 байта из отлаживаемого процесса начиная с 401000h, значение этого параметра должно быть равно 401000h.
- lрBuffer - адрес буфера, в который будут записаны прочитанные из процесса байты.
- nSize - количество байтов, которое вы хотите прочитать.
- lрNumberOfBytesRead - адрес переменной размером в двойное слово, которая получает количество байт, которое было прочитано в действительности. Если вам не важно это значение, вы можете использовать NULL.
Прежде, чем начать описание двух следующих функций, необходимо сделать небольшое отступление. Под мультизадачной операционной системой, такой как Windows, может быть несколько программ, pаботающих в одно и то же время. Windows дает каждому треду небольшой временной интервал, по истечении которого ОС замораживает этот тред и переключается на следующий (согласно приоритету). Hо перед тем, как переключиться на другой тред, Windows сохраняет значения регистров текущего треда, чтобы когда тот продолжил выполнение, Windows могла восстановить его рабочую среду. Все вместе сохраненные значения называют контекстом.
