AHK: Карта памяти (Страница 1 из 2)

Я что-то не то спросил? Или не так как надо? Правила читал и соблюдаю.

На англоязычном форуме есть похожая тема.

Средствами АНК никак. Это надо искать подходящие функции Windows API и вызывать через DllCall.

Тому, кто их опробовал, известны. Но, как я уже говорил выше, подозреваю, что здесь таковых нет. Так что придётся вам самому эти функции искать.

Попытался разобраться в коде с английского форума. Пока безуспешно.  Может кто-нибудь вкратце объяснить что делает этот код и как его применять?

; wont correctly handle 8 bytes with extreme values
ReadMemory(MADDRESS=0,PROGRAM="",BYTES=4)
{
   Static OLDPROC, ProcessHandle
   VarSetCapacity(MVALUE, BYTES,0)
   If (PROGRAM != OLDPROC || !ProcessHandle)
   {
      WinGet, pid, pid, % OLDPROC := PROGRAM
      ProcessHandle := ( ProcessHandle ? 0*(closed:=DllCall("CloseHandle"
      ,"UInt",ProcessHandle)) : 0 )+(pid ? DllCall("OpenProcess"
      ,"Int",16,"Int",0,"UInt",pid) : 0)
   }
   
   If !(ProcessHandle && DllCall("ReadProcessMemory","UInt",ProcessHandle,"UInt",MADDRESS,"Str",MVALUE,"UInt",BYTES,"UInt *",0))
      return !ProcessHandle ? "Handle Closed: " closed : "Fail"
   else if (BYTES = 1)
      Type := "UChar"
   else if (BYTES = 2)
      Type := "UShort"
   else if (BYTES = 4)
      Type := "UInt"
   else 
   {
      loop % BYTES 
          result += numget(MVALUE, A_index-1, "Uchar") << 8 *(A_Index-1)
      return result
   }

   return numget(MVALUE, 0, Type)
}

;__________________________________
; Automatically closes handle when a new (or null) program is indicated
; Otherwise, keeps the process handle open between calls that specify the
; same program. When finished reading memory, call this function with no
; parameters to close the process handle i.e: "Closed := ReadMemory_Str()"

; the lengths probably depend on the encoding style, but for my needs they are always 1

;//function ReadMemory_Str 
ReadMemory_Str(MADDRESS=0, PROGRAM = "", length = 0 , terminator = "")  ; "" = Null
{ 
    Static OLDPROC, ProcessHandle

    If (PROGRAM != OLDPROC || !ProcessHandle)
    {
        WinGet, pid, pid, % OLDPROC := PROGRAM
        ProcessHandle := ( ProcessHandle ? 0*(closed:=DllCall("CloseHandle"
        ,"UInt",ProcessHandle)) : 0 )+(pid ? DllCall("OpenProcess"
        ,"Int",16,"Int",0,"UInt",pid) : 0) ;PID is stored in value pid
    }
    ; length depends on the encoding too
    VarSetCapacity(Output, length ? length : 1, 0)
    If !length ; read until terminator found or something goes wrong/error
    {
        Loop
        { 
            success := DllCall("ReadProcessMemory", "UInt", ProcessHandle, "UInt", MADDRESS++, "str", Output, "Uint", 1, "Uint *", 0) 
            if (ErrorLevel || !success || Output = terminator) 
                break
            teststr .= Output 
        } 
    }        
    Else ; will read X length
    {
        DllCall("ReadProcessMemory", "UInt", ProcessHandle, "UInt", MADDRESS, "str", Output, "Uint", length, "Uint *", 0) 
        ;  Loop % length
        ;     teststr .= chr(NumGet(Output, A_Index-1, "Char"))      
        teststr := StrGet(&Output, length, "UTF-8")
    }
    return teststr
}

  Всё что я понял, это что находится какое-то окно и что-то как-то ищется в памяти процесса его вызвавшего.  Совершенно не понятно что должно служить аргументом для этих функций и что именно она выводит. Всё что я пробовал вывести давало пустую строку.

Как задать нужный процесс? Я считал что его через WinGet находят.

Буду пытаться составить "карту" из данных которые мне известны, а потом попробую вывести закономерности и найти фиксированные адреса указателей. Если я правильно понимаю как это всё устроено.

Читать сразу в буфер большой кусок памяти, а не по паре байт.

А что вы получили и что ожидали? Знаете, как работает функция NumGet и какие у неё параметры?

PROCESS_VM_READ — права на открываемый процесс. ssss — сдвиг от полученного указателя к адресу нужного числа, видимо.

Создать буфер нужного размера, считать туда из процесса нужное количество байт одним вызовом ReadProcessMemory, а дальше можно читать числа из буфера с помощью NumGet. 4 байта — это тип Int или UInt. Прочитали число, увеличили смещение на 4, прочитали следующее и т.д.

Самое длинное число, которое читает NumGet — это int64, т.е. 8 байт.
Открывать процесс 0x100 раз не надо, достаточно одного. То же касается создания буфера. В конце всего процесс желательно закрыть функцией CloseHandle(hProcess).

Для максимальной скорости функцию ReadProcessMemory желательно вызвать 1 раз, считав сразу всё нужное (суммарно) количество байт в буфер. Потом уже из буфера можно читать в цикле с помощью NumGet.

Так же, как вы уже делаете, только указав суммарно нужное количество байт. Либо я не понял вопрос?

Просто указать нужное значение Size. Сколько памяти не жалко, столько и выделяйте под буфер. Столько и считайте в него.

Надо только учитывать, что в памяти процесса занятые участки могут идти и не сплошь. Если попытаетесь считать память, которой в процессе нет (не выделялась ему), то будет ошибка.

У вас в коде ReadProcessMemory как раз это и делает. Буфер — это переменная Buf.

Так я вам сказал про него: чтение из буфера с помощью NumGet.

А зачем так? У вас же всё есть в коде:

MsgBox, % NumGet(Buf)

Второй параметр у NumGet — смещение, третий — тип числа.

Смотрите, что возвращают функции. Если hProcess или Ret = 0, это ошибка. Советую читать описания используемых функций и делать такие проверки самостоятельно. ErrorLevel после команды Process также надо бы проверять на 0, на случай необнаружения процесса.

Тип для NumGet должен быть в кавычках. В справке об этом написано. Почему вы их не поставили?

Что же вы хотите, если взялись составлять карту памяти процесса, обладая нулевыми знаниями и нежеланием читать документацию? Вот отсюда и сериал.

Неравенство знаний бывает разного размера. На какой нужно расчитывать? 2+2=4?

Alectric
Это вы со второго байта буфер читаете.

Alectric, вот где Вы раньше были?  
Я уже добрался примерно до этой же стадии, правда ещё долбался  с минусами и удобной записью. У Вас, конечно, всё красивей и с отличной демонстрацией. Спасибо!

Вопросы ко всем.

По сколько байт лучше читать в буфер за раз, чтобы максимально ускорить процесс?
Как быть с !Ret?  Могут такие области быть между заполненными областями? Тогда надо будет идти дальше.

До 200МБ

Думаю попробовать читать кусками по 2МБ и сохранять в файл. Только нужно переделать ваш код, организовать пропуски вместо сообщений где "Не удалось прочитать". И надстроить цикл, который будет задавать автоматическое смещение в зависимости от выбранного размера буфера.

Надо смотреть, на что именно уходит время, а не гадать на кофейной гуще. В АНК есть встроенная переменная A_TickCount, можно её использовать для измерения, сколько времени занимает кусок кода.

Четвёртый гигабайт явно лишний. Третий скорее всего тоже. Это системная память. Пользовательским процессам обычно отданы два нижних.

Вообще, наверно, можно использовать VirtualQueryEx, чтобы отсортировать реально выделенные процессу страницы памяти, и уже только их читать. Правда, это только идея, я этим не занимался.

По чтению регионов удалось найти приемлемое решение.  Но всё равно процесс идёт медленнее чем хотелось бы.  Самое узкое место вот здесь:

loop
{
  if (a_index>ReadSize)
  {
   FileAppend,%map%,map.txt
  }
  char:=  NumGet(Buf, a_index-1, "UChar")
  stringtrimleft,char,char,2
  StringLen,len,char
  if len<2
    char=0%char%
  if r<16
    map.=" "char
  else
  {
    map.="`n" ReadAddress+a_index-1 " | " char
    r=
  }
  r+=1
}

  Можно тут что-нибудь оптимизировать?  Можно как-то читать не по одному байту, а по 8 или 16?

Да я именно его и использую.  Я ограничил объём map

        if (Strlen(map) > 0xFFFFF)
            {
            FileAppend,%map%,имя.txt
            map = 
            }

Это чуть больше 1Mb. Считаете, что стоит ещё уменьшить?

Всё равно слишком медленно. Даже после предварительного ограничения области чтения, весь процесс занимает до двух минут. В то время как та же Artmoney успевает прошерстить всё и найти нужное за 5-7 секунд.  Жаль только "карту" не может составить.
  Есть какие-то способы радикально ускорить темп чтения памяти средствами AHK?

Не имеет значения. Если есть в AHK другие функции, или есть возможность встроить в код AHK десяток простых известных строк на ассемблере, то подходит и то, и то.

Artmoney ищет только заданное число, и записывает в список результатов найденные варианты.
А при отображении карты процесса - читает только те, что видно на экране, если растянуть на весь экран около 1 kB.
Просто поиск значения будет быстрее чем запись в файл.

А вы пытаетесь создать карту памяти полностью, т.е. 2 GB или сколько там, да даже 2 mB это 2048 kB.

Разве что, есть вариант на AHK "открыть файл для записи" и записывать данные без лишних запросов ("открыть, найти последнюю строку, записать, закрыть, повторить" - так я представляю FileAppend).

OFF: Новую справку не изучал досканально, до сих пор русифицированной неполной пользуюсь.

Попробовал файловый объект:

Объем: 0x100000
Время работы с "Fileappend": 15210
Время работы с "File Object": 16380

Объем: 0x500000
Время работы с "Fileappend": 56004
Время работы с "File Object.Write": 74179
Время работы с "File Object.WriteLine": 74007

Объем: 0x500000
Время работы с "Fileappend" без форматирования: xxxxx - Очень долго.
Время работы с "Fileappend" с форматом по 16 байт: 74241
Время работы с "File Object" без форматирования: 46816

Без форматирования значит: не удалять "0x"; не добавлять пробел ко всем и 0 к однозначным числам; не дописывать текущий адрес; не переводить строку после 16-и прочитанных байт.

Может я как-то не так его применил?

#SingleInstance,Force
#NoEnv
SetFormat, Integer, H
onexit,exit
SetBatchLines,-1

starttime:=a_tickcount

ProcessName = notepad.exe         ; Имя процесса.
StartAdres:=ReadAddress:= 0x0             ; Адрес, откуда читать.
ReadSizeL = 0x500000             ; Сколько байт читать.
ReadSize = 1
EndAdres:=ReadAddress+ReadSizeL
new:=1
savefile=map_%ProcessName%_%new%.txt

file := FileOpen(savefile, "w")
if !IsObject(file)
{
  MsgBox Can't open "%FileName%" for writing.
  exitapp
}


map=__________ | 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F`n______________________________________________________`n%ReadAddress% |

VarSetCapacity(Buf, ReadSize, 0)  ; Буфер, куда считывать.

PROCESS_VM_READ = 0x10            ; Права на процесс.

Process, Exist, %ProcessName%     ; Поиск процесса.

If(!ErrorLevel) {
  MsgBox, Процесс не найден.
  ExitApp
}

PID := ErrorLevel                 ; Идентификатор процесса будет в ErrorLevel.

hProcess := DllCall("OpenProcess", UInt, PROCESS_VM_READ
                                 , Int, False
                                 , UInt, PID)
If(!hProcess)
{
  MsgBox, Не удалось открыть процесс.
  ExitApp
}

loop,%ReadSizeL%  ; \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
{
  c++
  if c>25000
  {
    c=
    tooltip,Начальный адрес: %StartAdres%`nТекущий адрес: "%ReadAddress%"`nКонечный адрес: %EndAdres%`nEsc - для отмены.
  }

  Ret := DllCall("ReadProcessMemory", UInt, hProcess
                                    , UInt, ReadAddress
                                    , UInt, &Buf
                                    , UInt, ReadSize
                                    , UInt, 0)

  If(Ret)
  {
    char:=  NumGet(Buf, 0, "UChar")
  ;tooltip, % char "`n" a_index  ; Считывание из буфера в переменную.
    stringtrimleft,char,char,2
    StringLen,len,char
    if len<2
      char:=" 0"char
    else
      char:=" "char
  }
  else
    char=

  if r<16
  {
    map.=char
  }
  else
  {
    file.Write(map)
    map=
    r=
    If(Ret)
      map.="`n" ReadAddress " | " char
  }
  r+=1
  ReadAddress++
}
map.="`n`n"
fileappend,%map%,%savefile%
gosub,exit

~esc::
exitapp
return



exit:
file.Close()
DllCall("CloseHandle", UInt, hProcess) ; Освобождение хэндла процесса.
SetFormat, Integer, D
end:=a_tickcount-starttime
Msgbox,Время работы: %end%
exitapp

Насколько я понял ТС-у нужна не "карта процесса" а данные из "Редактора памяти" в Artmoney.
Это 2 разные вещи...

В редакторе памяти Artmoney есть функция сохранить в Excel, но там всего 512 байт сохраняет.

Ну может я не там поставил открытие файла, или запись в файл...

Later:
Нашел метод ускорить процесс, читая по 16 байт в буфер.
Т.к. в основном если "нельзя прочитать", то "нельзя прочитать" все 16 байт, судя по Artmoney.

Объем: 0x500000            ; 5 mB
Время работы: 19375     ; 20 sec       0.25 mB/sec

#SingleInstance,Force
#NoEnv
SetFormat, Integer, H
onexit,exit
SetBatchLines,-1

starttime:=a_tickcount

ProcessName = notepad.exe         ; Имя процесса.
StartAdres:=ReadAddress:= 0x0             ; Адрес, откуда читать.
ReadSizeL = 0x50000             ; Сколько байт читать.
ReadSize = 16
EndAdres:=ReadAddress+ReadSizeL*ReadSize
new:=1
savefile=map_%ProcessName%_%new%.txt

;file := FileOpen(savefile, "w")
;if !IsObject(file)
;{
;    MsgBox Can't open "%FileName%" for writing.
;    return
;}


map=__________ | 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F`n______________________________________________________`n%ReadAddress% |

VarSetCapacity(Buf, ReadSize, 0)  ; Буфер, куда считывать.

PROCESS_VM_READ = 0x10            ; Права на процесс.

Process, Exist, %ProcessName%     ; Поиск процесса.

If(!ErrorLevel) {
  MsgBox, Процесс не найден.
  ExitApp
}

PID := ErrorLevel                 ; Идентификатор процесса будет в ErrorLevel.

hProcess := DllCall("OpenProcess", UInt, PROCESS_VM_READ
                                 , Int, False
                                 , UInt, PID)
If(!hProcess)
{
  MsgBox, Не удалось открыть процесс.
  ExitApp
}

loop,%ReadSizeL%  ; \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
{
  c++
  if c>5000
  {
    c=
    tooltip,Начальный адрес: %StartAdres%`nТекущий адрес: "%ReadAddress%"`nКонечный адрес: %EndAdres%`nEsc - для отмены.
  }

  Ret := DllCall("ReadProcessMemory", UInt, hProcess
                                    , UInt, ReadAddress
                                    , UInt, &Buf
                                    , UInt, ReadSize
                                    , UInt, 0)

  If(Ret)
  {
loop,%ReadSize%
{
    char:=  NumGet(Buf, a_index-1, "UChar")
  ;tooltip, % char "`n" a_index  ; Считывание из буфера в переменную.
    stringtrimleft,char,char,2
    StringLen,len,char
    if len<2
      char:=" 0"char
    else
      char:=" "char
    map.=char
}
      map.="`n" ReadAddress " | " char
      fileappend,%map%,%savefile%
map=
  }

;  if r<16
;  {
;    map.=char
;  }
;  else
;  {
;    If(Ret)
;      map.="`n" ReadAddress " | " char
;    map.=char
;    r=
;    d++
;    if d>10
;    {
;      fileappend,%map%,%savefile%
;      d=
;      map=
;    }
;  }
;  r+=1
ReadAddress+=16
}
map.="`n`n"
fileappend,%map%,%savefile%
gosub,exit

~esc::
exitapp
return

exit:
DllCall("CloseHandle", UInt, hProcess) ; Освобождение хэндла процесса.
SetFormat, Integer, D
end:=a_tickcount-starttime
Msgbox,Время работы: %end%
exitapp

Спасибо.
Сейчас попробую.

Later:
Объем: 0x500000            ; 5 mB
Время работы: 2979     ; 3 sec       1,6 mB/sec

Только почему-то считало 4 mB вместо 5-и. (судя по адресу)
А-а, понял, просто у блокнота пусто после 4-х mB.

#SingleInstance,Force
#NoEnv
SetFormat, Integer, H
onexit,exit
SetBatchLines,-1

starttime:=a_tickcount

ProcessName = notepad.exe         ; Имя процесса.
StartAdres:=ReadAddress:= 0x0             ; Адрес, откуда читать.
ReadSizeL = 1280             ; Сколько байт читать.
ReadSize = 4096
EndAdres:=ReadAddress+ReadSizeL*ReadSize
new:=1
savefile=map_%ProcessName%_%new%.txt

    tooltip,Начальный адрес: %StartAdres%`nТекущий адрес: "%ReadAddress%"`nКонечный адрес: %EndAdres%`nEsc - для отмены.
;file := FileOpen(savefile, "w")
;if !IsObject(file)
;{
;    MsgBox Can't open "%FileName%" for writing.
;    return
;}


map=__________ | 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F`n______________________________________________________`n%ReadAddress% |

VarSetCapacity(Buf, ReadSize, 0)  ; Буфер, куда считывать.

PROCESS_VM_READ = 0x10            ; Права на процесс.

Process, Exist, %ProcessName%     ; Поиск процесса.

If(!ErrorLevel) {
  MsgBox, Процесс не найден.
  ExitApp
}

PID := ErrorLevel                 ; Идентификатор процесса будет в ErrorLevel.

hProcess := DllCall("OpenProcess", UInt, PROCESS_VM_READ
                                 , Int, False
                                 , UInt, PID)
If(!hProcess)
{
  MsgBox, Не удалось открыть процесс.
  ExitApp
}

loop,%ReadSizeL%  ; \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
{
  c++
  if c>5000
  {
    c=
    tooltip,Начальный адрес: %StartAdres%`nТекущий адрес: "%ReadAddress%"`nКонечный адрес: %EndAdres%`nEsc - для отмены.
  }

  Ret := DllCall("ReadProcessMemory", UInt, hProcess
                                    , UInt, ReadAddress
                                    , UInt, &Buf
                                    , UInt, ReadSize
                                    , UInt, 0)

  If(Ret)
  {
    loop,%ReadSize%
    {
      char:=  NumGet(Buf, a_index-1, "UChar")
;tooltip, % char "`n" a_index  ; Считывание из буфера в переменную.
      stringtrimleft,char,char,2
      StringLen,len,char
      if len<2
        char:=" 0"char
      else
        char:=" "char

      r++
      if r<17
        map.=char
      else
      {
        r=1
        map.="`n" ReadAddress+a_index-1 " | " char
      }
    }
    fileappend,%map%,%savefile%
    map=
  }

ReadAddress+=ReadSize
}
map.="`n`n"
fileappend,%map%,%savefile%
gosub,exit

~esc::
exitapp
return

exit:
DllCall("CloseHandle", UInt, hProcess) ; Освобождение хэндла процесса.
SetFormat, Integer, D
end:=a_tickcount-starttime
Msgbox,Время работы: %end%
exitapp

Спасибо ТС-у за эту тему, давно хотел с памятью поработать.

  Это примерно раза в три быстрее чем было.

  Это. Но "мой" процесс быстро меняется. И пока он будет весь сохраняться, содержимое станет другим. Поэтому важна скорость и приходится дробить на куски.

К сожалению, нет.

Ладно, пока откажусь от этой идеи. 
  Всем спасибо!

Он имел ввиду функцию "Остановить процесс" в Artmoney.
Все равно нельзя?

Так он в бинарном виде сохраняет, а у вас ещё преобразование в хекс отнимает кучу времени.

Почему невозможно? Для записи бинарных данных в файл есть метод RawWrite объекта File.

Про файл дампа не знаю, не в курсе его формата. Может, в интернете что-то есть об этом. Вряд ли там что-то сложное.

  Это же великолепно! Правда примеров пока не нашёл.  Но не думаю, что будет значительно медленнее упомянутого способа создания дампа.
  А есть готовые решения по "расшифровке" файлов записанных с помощью RawWrite?

Прямо как в анекдоте про чайник "если полный, то сначала выливаем, и получаем исходные условия". Мне эта мысль сразу пришла в голову, но я слабо себе представляю что там и как будет. Попробую.

А при чём здесь участки памяти? Этот метод читает файл.

Что-то я увяз в этой ReadProcessMemory. Как это всё должно выглядеть?
Допустим я хочу прочитать блок памяти  от
StartAdres := 0x0001000

размером
ReadSize :=0x2000

в процессе mspaint.exe.

Что куда вписывать?

  Помогите, пожалуйста!

BytesRead — это число реально прочитанных байт. Выходной параметр, т.е. функция сама туда поместит число.
Какой третий параметр? Если &buf, то это адрес буфера.

Вроде того.

hProcess := 

processHandle

Разницы не замечаете?

Всё равно без знания английского сплошное шаманство получается. Надёргал строк c RawWrite отовсюду, но всё равно не значю что объявлять и когда, да и всё остальное.

#SingleInstance,Force
#NoEnv
SetFormat, Integer, H
SetBatchLines,-1


ProcessName = mspaint.exe
StartAdres := 0x00010000
ReadSize = 0x2000



Process, Exist, %ProcessName% 
If(!ErrorLevel) {
MsgBox, Процесс не найден.
ExitApp
}

PROCESS_VM_READ = 0x10    
PID := ErrorLevel 

hProcess := DllCall("OpenProcess", UInt, PROCESS_VM_READ
                                , Int, False
                                , UInt, PID)
If(!hProcess)
{
MsgBox, Не удалось открыть процесс.
ExitApp
}


VarSetCapacity(buf,ReadSize, 0)
TargetFile = %StartAdres%.txt
blok := DllCall("ReadProcessMemory", "Ptr", hprocess, "Ptr", StartAdres, "Ptr", &buf, "Ptr", ReadSize, "PtrP", BytesRead, "UInt")
if (BytesRead)
    {
    File := FileOpen(TargetFile, "w"), File.Length := 0    
    File.RawWrite(blok, w_Bytes), File.Close()  
    MsgBox, %w_Bytes%
    }


DllCall("CloseHandle", UInt, hProcess)
exitapp

   Подскажите, пожалуйста, что с RawWrite не так.

Alectric, и другие, а можно как-то сразу быстро определить не читаемые разделы памяти, чтобы не трать время на их чтение?