1. 项目概述一个用于内存操作与进程注入的Python库在逆向工程、安全研究、游戏修改甚至是自动化测试的领域里我们常常需要与正在运行的程序“对话”。这种对话不是通过API接口而是直接深入到程序的内存空间读取它的状态修改它的数据甚至注入新的代码来改变其行为。对于Python开发者来说虽然语言生态丰富但要找到一个功能全面、接口友好且跨平台稳定的库来完成这些底层操作往往需要自己封装复杂的C扩展或依赖多个不兼容的库。caspianmoon/memoripy的出现正是为了解决这个痛点。它是一个纯Python实现的库核心目标是提供一个简洁、强大且跨平台的接口让开发者能够轻松地附着到目标进程进行内存的读写、分配、保护属性修改以及实现远程线程注入等高级操作。简单来说它让你能用Python脚本像在自家后花园散步一样在另一个进程的内存空间里进行“游览”和“改造”。这个库的名字“MemoriPy”巧妙地融合了“Memory”内存和“Python”直指其核心功能。它特别适合以下几类开发者安全研究员与逆向工程师用于分析软件行为、挖掘漏洞、开发概念验证PoC利用代码。游戏修改Modding与辅助工具开发者用于读取游戏内存中的血量、金币数值或修改某些游戏参数。自动化测试工程师需要对没有开放接口的桌面客户端软件进行深度UI或逻辑测试。对系统编程感兴趣的Python爱好者希望了解进程、内存、动态链接库DLL等底层概念并通过实践加深理解。接下来我将从一个实践者的角度深入拆解MemoriPy的核心设计、使用方法、实战技巧以及那些官方文档可能不会明说的“坑”。1.1 核心需求与设计哲学解析为什么我们需要MemoriPy这样的库直接使用ctypes调用操作系统API不行吗当然可以但那意味着你要面对大量平台相关的细节、繁琐的错误处理和不统一的接口。MemoriPy的设计哲学在于抽象与简化。它的核心需求可以归纳为三点统一的跨平台抽象层无论是Windows、Linux还是macOS操作进程内存的底层API如ReadProcessMemory、ptrace、vm_read都截然不同。MemoriPy的目标是封装这些差异提供一套相同的Python方法比如read(地址, 长度)和write(地址, 数据)让开发者无需关心底层系统。面向对象的友好接口它将一个目标进程抽象成一个MemProcess对象将其内存空间抽象成一个MemRegion对象列表。这种设计让代码更符合直觉例如process.maps可以获取内存区域列表region.read()可以直接读取该区域。功能完备性与安全性它不仅提供基础的读写还涵盖了内存分配(allocate)、内存保护属性修改(protect)、远程线程创建与DLL注入(inject_dll,create_thread)这些都是进行高级内存操作所必需的功能。同时它在内部会进行参数检查和错误处理避免因非法操作导致目标进程或自身崩溃。在实际使用中这种设计带来的最大好处是开发效率的极大提升和代码可维护性的增强。你可以用很少的代码完成复杂的任务并且代码在不同平台间的可移植性更高。2. 核心架构与关键技术点拆解要熟练使用MemoriPy必须理解其背后的几个关键概念和技术点。这些理解能帮助你在遇到问题时更快地定位和解决。2.1 进程附着Attach与句柄Handle一切操作始于“附着”到一个目标进程。在操作系统中每个进程都有独立的虚拟地址空间外部进程不能随意访问。为了获得访问权限我们需要先打开进程获取一个代表该访问权限的“句柄”Handle。import memoripy # 通过进程IDPID附着 process memoripy.MemProcess(pid1234) # 或通过进程名附着返回第一个匹配的进程 process memoripy.MemProcess(namenotepad.exe)关键技术点权限要求在类Unix系统Linux/macOS上附着进程通常需要root权限或相应的能力如CAP_SYS_PTRACE因为ptrace系统调用被用于此目的。在Windows上则需要具有PROCESS_VM_READ | PROCESS_VM_WRITE | PROCESS_VM_OPERATION等权限通常也需要以管理员身份运行。句柄管理MemProcess对象在初始化时获取句柄并在对象销毁时或调用close()时自动关闭。这是一个重要的资源管理机制避免句柄泄漏。平台差异封装MemProcess.__init__内部会根据平台调用_attach_win或_attach_unix方法处理各自平台的API调用和错误码转换。注意附着失败的最常见原因就是权限不足。如果你的脚本在非管理员/root权限下运行十有八九会抛出PermissionError或类似的异常。这是进行内存操作的第一道坎。2.2 虚拟内存布局与内存区域MemRegion现代操作系统的进程使用虚拟内存。一个进程的地址空间被划分为多个区域每个区域有不同的属性可读、可写、可执行、是否私有、映射的文件等。MemoriPy用MemRegion对象来描述这些区域。# 获取进程的所有内存区域 regions process.maps for region in regions: print(f起始地址: {hex(region.start)} 结束地址: {hex(region.end)} 权限: {region.perms} 路径: {region.pathname})关键技术点信息源在Linux上信息来源于解析/proc/[pid]/maps文件在Windows上则通过VirtualQueryExAPI枚举。MemRegion的属性如start、end、perms权限字符串如rwxp、pathname映射的文件路径如可执行文件或动态库都由此而来。权限字符串r可读w可写x可执行p私有写时复制s共享。尝试向一个只有r-x权限的区域写入数据会导致操作失败在Windows上可能引发访问违规异常。地址空间随机化ASLR这是现代操作系统的重要安全特性它会使每次程序运行时模块如exe、dll的加载基址发生变化。因此你不能硬编码地址。通常的策略是先找到模块的基址通过遍历process.maps寻找pathname匹配的region然后加上模块内的静态偏移量来得到最终地址。2.3 内存读写的基础地址、类型与字节序内存读写是核心操作但这里涉及两个容易混淆的概念虚拟地址和Python数据类型。# 读取一个4字节的整数假设是32位小端序 address 0x00400000 int_value process.read_int(address) print(f在地址 {hex(address)} 读取到的整数是{int_value}) # 写入一个浮点数 float_value 3.14159 process.write_float(address 0x100, float_value) # 读取原始字节 byte_data process.read(address 0x200, 16) # 读取16个字节关键技术点地址有效性传入的地址必须是目标进程用户空间内的有效虚拟地址。读取未映射或不可读的区域会导致异常。类型化读写MemoriPy提供了read_int、write_bytes、read_string等多种便捷方法。它们内部调用了通用的read/write并处理了Python类型到字节序列的转换。字节序Endianness这是跨平台和跨语言数据交换时的一个大坑。x86/x86-64架构使用小端序Little Endian即低位字节存储在低地址。而网络序通常是大端序。MemoriPy的读写方法默认遵循当前平台的字节序通常是小端序。如果你从内存中读取一个多字节整数然后要在不同架构的系统间传递就必须考虑字节序转换。struct模块是处理字节序的利器。字符串读取read_string方法通常假设字符串是以空字符\x00结尾的C风格字符串。它会一直读取直到遇到\x00。如果内存中不是这种格式或者没有终止符可能会导致读取过多数据或异常。3. 高级功能实战从内存修改到代码注入掌握了基础读写我们就可以进行一些更“高级”的操作了。这些功能让MemoriPy从一个内存查看器变成了一个强大的进程操控工具。3.1 动态内存分配与属性修改有时我们需要在目标进程中开辟一块新的内存用于存储数据或代码。# 在目标进程中分配一块 4096 字节一页的可读写内存 allocated_addr process.allocate(size4096, protrw) print(f分配的内存地址{hex(allocated_addr)}) # 向这块内存写入数据 data_to_write bHello from injected memory! process.write(allocated_addr, data_to_write) # 修改这块内存的保护属性为可读可执行用于注入代码 old_prot process.protect(allocated_addr, 4096, rx) print(f旧的内存保护属性{old_prot}) # ... 执行代码 ... # 操作完成后可以释放内存谨慎使用确保没有其他地方引用 # process.free(allocated_addr)关键技术点分配粒度内存分配通常以内存页Page为单位大小是系统相关的如4KB。即使你只申请1字节系统也可能分配一整个页。保护属性Protectionprot参数是字符串如rw读/写、rx读/执行、rwx读/写/执行。修改为可执行属性x是注入shellcode的前提。protect方法返回修改前的属性便于后续恢复。释放内存free方法调用底层API如VirtualFreeEx或munmap释放内存。必须极其谨慎确保没有正在使用这块内存的线程否则会导致目标进程崩溃。在大多数注入场景中分配的内存往往伴随进程生命周期不主动释放。3.2 远程线程创建与DLL注入这是MemoriPy最强大的功能之一。DLL注入是将一个动态链接库加载到目标进程的地址空间从而使其代码在目标进程上下文中执行。# 假设我们有一个编译好的DLL路径 dll_path rC:\MyInjection.dll # 或者Linux下的.so文件 # dll_path /home/user/MyInjection.so # 注入DLL injected process.inject_dll(dll_path) if injected: print(DLL注入成功) else: print(DLL注入失败。)技术原理与流程拆解inject_dll方法内部完成了一系列复杂操作计算DLL路径长度并将路径字符串转换为适合目标进程的格式宽字符或窄字符。在目标进程分配内存用于存储DLL的路径字符串。将路径写入目标进程内存使用write方法。获取加载库的函数地址在Windows上是LoadLibraryA/LoadLibraryW在Linux上是dlopen在macOS上是dlopen。这些函数位于系统库如kernel32.dll、libdl.so中其地址在目标进程和注入进程中是一致的由于系统库在所有进程中映射到相同的虚拟地址得益于ASLR对系统库的固定偏移或共享机制。创建远程线程调用create_thread将线程的入口点设置为LoadLibrary的函数地址并将参数设置为存储DLL路径的内存地址。等待线程结束线程执行LoadLibrary(路径)成功则返回模块句柄失败返回NULL。注入函数会等待线程结束并获取返回值。清理释放之前分配的用于存储路径的内存。手动创建远程线程执行Shellcode 有时我们不想注入整个DLL只想执行一小段机器码Shellcode。# 一段简单的x86/x64 Shellcode例如调用Sleep函数 # 这只是一个概念示例实际Shellcode需要精心构造 shellcode b\x48\x83\xECx28\x...\xC3 # 假设这是调用Sleep(5000)的Shellcode # 1. 分配可读可写可执行的内存 shellcode_addr process.allocate(sizelen(shellcode), protrwx) # 2. 写入Shellcode process.write(shellcode_addr, shellcode) # 3. 创建远程线程入口点就是Shellcode的地址 thread_handle process.create_thread(shellcode_addr) # 4. 可以等待线程结束对于无限循环的Shellcode则不会结束 # process.wait_for_thread(thread_handle)重要警告Shellcode注入是高级且危险的技术。Shellcode必须与目标进程的架构32/64位完全匹配。错误的Shellcode会立即导致目标进程崩溃。此外现代杀毒软件和EDR终端检测与响应产品会严密监控进程的远程线程创建和内存属性修改特别是分配RWX内存这种行为极易被检测和拦截。4. 实战案例一个简易的游戏内存修改器让我们结合一个虚构的、简单的游戏场景将上述知识点串联起来。假设有一个游戏“SimpleGame.exe”我们想修改其金币数量。4.1 第一步定位金币变量的内存地址这是最核心也是最困难的一步。我们通常使用外部工具如Cheat Engine, x64dbg进行扫描而不是用MemoriPy。启动游戏和Cheat Engine。附加到游戏进程。扫描初始金币数值比如100。在游戏中让金币发生变化比如花费10金币。在Cheat Engine中扫描变化后的数值90。重复步骤4-5直到筛选出少量地址。分析这些地址的访问和改写找到最稳定的那个。通常指向最终数据的地址是一个“静态地址”它可能是一个全局变量或者是模块基址偏移的形式。假设我们最终找到模块SimpleGame.exe基址偏移0x00123456实际地址计算SimpleGame.exe基址 0x001234564.2 第二步使用MemoriPy编写修改脚本import memoripy import time def modify_gold(pid, gold_amount): try: # 1. 附着到游戏进程 game memoripy.MemProcess(pidpid) print(f成功附着到进程 PID: {pid}) # 2. 寻找 SimpleGame.exe 的基址 game_base None for region in game.maps: # 在Windows上主模块的路径名通常是完整的exe路径 # 我们找可执行、有名称、且名称包含‘SimpleGame’的区域 if region.perms[2] x and region.pathname and SimpleGame.exe in region.pathname: game_base region.start print(f找到游戏模块基址: {hex(game_base)}) break if game_base is None: print(未找到游戏主模块) game.close() return # 3. 计算金币变量的绝对地址 gold_offset 0x00123456 gold_address game_base gold_offset print(f金币变量理论地址: {hex(gold_address)}) # 4. 验证地址尝试读取当前值假设是4字节整数 current_gold game.read_int(gold_address) print(f当前金币值: {current_gold}) # 5. 修改金币值 print(f尝试修改为: {gold_amount}) game.write_int(gold_address, gold_amount) # 6. 再次读取以确认修改成功 new_gold game.read_int(gold_address) print(f修改后金币值: {new_gold}) if new_gold gold_amount: print(金币修改成功) else: print(修改可能失败或地址不正确。) # 7. 关闭进程句柄非必需对象销毁时会自动关闭 game.close() except Exception as e: print(f操作过程中发生错误: {e}) if __name__ __main__: # 你需要先获取游戏的PID例如通过任务管理器 target_pid 5678 modify_gold(target_pid, 99999)4.3 第三步处理指针与多级偏移很多时候找到的地址不是一个简单的“基址偏移”而是一个多级指针链。例如Cheat Engine显示地址是[[“SimpleGame.exe”0x123456]0x20]0x8。这表示从SimpleGame.exe基址 0x123456处读取一个值这是一个指针地址A。从地址A 0x20处读取一个值这是另一个指针地址B。地址B 0x8才是最终存储金币的地址。MemoriPy需要手动解引用def read_multilevel_pointer(process, base, offsets): 读取多级指针指向的值。 :param process: MemProcess对象 :param base: 基地址int :param offsets: 偏移量列表如 [0x123456, 0x20, 0x8] :return: 最终地址 (int) address base for i, offset in enumerate(offsets): if i len(offsets) - 1: # 最后一次偏移直接返回最终地址如果要读值可以在这里调用 read_int 等 return address offset else: # 读取当前地址处的值作为下一级的指针 # 假设指针是目标进程位宽如64位进程是8字节 ptr_size 8 # 64位进程 # address process.read_int(address offset) # 如果指针是4字节整数 # 更通用的方法是读取指针大小的数据并解包 data process.read(address offset, ptr_size) address int.from_bytes(data, byteorderlittle, signedFalse) if address 0: raise ValueError(f在偏移 {hex(offset)} 处读到空指针。) return address # 使用示例 base game_base offsets [0x123456, 0x20, 0x8] final_addr read_multilevel_pointer(game, base, offsets) gold_value game.read_int(final_addr)5. 常见问题、排查技巧与安全考量在实际使用MemoriPy的过程中你会遇到各种各样的问题。下面是一些典型问题及其排查思路。5.1 附着进程失败症状PermissionError、AccessDenied或类似的异常。排查检查权限在Linux/macOS上使用sudo运行脚本。在Windows上以管理员身份运行终端或IDE。检查PID确认你提供的PID是正确的并且进程确实在运行。使用ps aux或任务管理器核对。检查进程状态目标进程是否处于调试状态或被其他调试器附着一个进程通常只能被一个调试器附着。防病毒/安全软件干扰某些安全软件会阻止非白名单进程进行内存操作。尝试暂时禁用或添加排除项。5.2 内存读写失败症状read/write方法抛出异常提示无效地址或访问违规。排查验证地址使用process.maps打印内存区域确认你要读写的地址落在某个具有相应权限r或w的区域之内。特别注意代码段r-x通常不可写。检查ASLR你是否硬编码了地址每次游戏重启后模块基址都会变。必须动态获取基址。检查指针链如果是多级指针中间某级指针可能为NULL0导致解引用失败。在read_multilevel_pointer函数中添加打印或断言来检查每一级的结果。数据类型与大小确认你使用的读写方法如read_int与目标内存中数据的实际类型和大小匹配。一个float和int在内存中的表示完全不同。5.3 DLL注入失败症状inject_dll返回False或目标进程无反应甚至崩溃。排查DLL路径路径必须是目标进程可访问的绝对路径。对于网络路径或包含特殊字符的路径要格外小心。在Windows上考虑使用os.path.abspath和os.path.exists检查。DLL依赖你的DLL可能依赖其他DLL如特定的VC运行时库而这些DLL在目标进程的环境下不存在或版本不匹配。使用Dependency Walker或ldd(Linux)检查依赖。DLL入口点DllMain函数中不要进行复杂的操作或长时间阻塞。这可能导致注入线程卡死或进程初始化失败。复杂的逻辑应放在DllMain之外通过创建的线程或导出函数来触发。杀毒软件DLL注入是安全软件的敏感行为很可能被拦截。在测试环境中进行。5.4 性能与稳定性考量频繁读写避免在循环中进行大量、细粒度的单次读写。如果需要读取一大块连续数据使用read(地址, 大长度)一次完成效率更高。句柄泄漏确保MemProcess对象在使用完毕后被正确回收离开作用域或手动调用close()。虽然Python有垃圾回收但显式关闭是好习惯。异常处理所有对目标进程的操作都应包裹在try...except块中。一个失败的操作不应该导致你的控制脚本崩溃。线程同步如果你注入的代码会创建线程或修改全局状态务必考虑线程安全问题。不恰当的同步可能导致数据竞争和进程不稳定。5.5 法律与道德边界最后也是最重要的一点我们必须讨论使用这类技术的边界。仅用于合法授权目标MemoriPy及其相关技术只能用于你拥有合法权限的进程。这包括你自己开发的软件、明确授权你进行测试的软件如公司内部的软件安全评估、在明确允许修改的沙盒或游戏私服环境中。尊重用户协议与法律修改在线游戏、商业软件的内存数据绝大多数情况下违反了其最终用户许可协议EULA可能导致账号封禁。更严重的是如果用于作弊、盗取数据或破坏系统可能构成违法行为。用于学习与研究MemoriPy是一个极佳的学习工具可以帮助你深入理解操作系统、进程模型、内存管理和软件安全。请在合法的、隔离的环境如虚拟机中开展你的实验。MemoriPy赋予了你强大的能力但正如蜘蛛侠的叔叔所说“能力越大责任越大。” 请务必将它用在正途用于提升你的技术、解决实际问题而不是去破坏规则。在实战中从简单的单机游戏修改开始逐步理解原理再过渡到更复杂的场景这才是安全且富有成效的学习路径。
MemoriPy:Python跨平台内存操作与进程注入库实战指南
1. 项目概述一个用于内存操作与进程注入的Python库在逆向工程、安全研究、游戏修改甚至是自动化测试的领域里我们常常需要与正在运行的程序“对话”。这种对话不是通过API接口而是直接深入到程序的内存空间读取它的状态修改它的数据甚至注入新的代码来改变其行为。对于Python开发者来说虽然语言生态丰富但要找到一个功能全面、接口友好且跨平台稳定的库来完成这些底层操作往往需要自己封装复杂的C扩展或依赖多个不兼容的库。caspianmoon/memoripy的出现正是为了解决这个痛点。它是一个纯Python实现的库核心目标是提供一个简洁、强大且跨平台的接口让开发者能够轻松地附着到目标进程进行内存的读写、分配、保护属性修改以及实现远程线程注入等高级操作。简单来说它让你能用Python脚本像在自家后花园散步一样在另一个进程的内存空间里进行“游览”和“改造”。这个库的名字“MemoriPy”巧妙地融合了“Memory”内存和“Python”直指其核心功能。它特别适合以下几类开发者安全研究员与逆向工程师用于分析软件行为、挖掘漏洞、开发概念验证PoC利用代码。游戏修改Modding与辅助工具开发者用于读取游戏内存中的血量、金币数值或修改某些游戏参数。自动化测试工程师需要对没有开放接口的桌面客户端软件进行深度UI或逻辑测试。对系统编程感兴趣的Python爱好者希望了解进程、内存、动态链接库DLL等底层概念并通过实践加深理解。接下来我将从一个实践者的角度深入拆解MemoriPy的核心设计、使用方法、实战技巧以及那些官方文档可能不会明说的“坑”。1.1 核心需求与设计哲学解析为什么我们需要MemoriPy这样的库直接使用ctypes调用操作系统API不行吗当然可以但那意味着你要面对大量平台相关的细节、繁琐的错误处理和不统一的接口。MemoriPy的设计哲学在于抽象与简化。它的核心需求可以归纳为三点统一的跨平台抽象层无论是Windows、Linux还是macOS操作进程内存的底层API如ReadProcessMemory、ptrace、vm_read都截然不同。MemoriPy的目标是封装这些差异提供一套相同的Python方法比如read(地址, 长度)和write(地址, 数据)让开发者无需关心底层系统。面向对象的友好接口它将一个目标进程抽象成一个MemProcess对象将其内存空间抽象成一个MemRegion对象列表。这种设计让代码更符合直觉例如process.maps可以获取内存区域列表region.read()可以直接读取该区域。功能完备性与安全性它不仅提供基础的读写还涵盖了内存分配(allocate)、内存保护属性修改(protect)、远程线程创建与DLL注入(inject_dll,create_thread)这些都是进行高级内存操作所必需的功能。同时它在内部会进行参数检查和错误处理避免因非法操作导致目标进程或自身崩溃。在实际使用中这种设计带来的最大好处是开发效率的极大提升和代码可维护性的增强。你可以用很少的代码完成复杂的任务并且代码在不同平台间的可移植性更高。2. 核心架构与关键技术点拆解要熟练使用MemoriPy必须理解其背后的几个关键概念和技术点。这些理解能帮助你在遇到问题时更快地定位和解决。2.1 进程附着Attach与句柄Handle一切操作始于“附着”到一个目标进程。在操作系统中每个进程都有独立的虚拟地址空间外部进程不能随意访问。为了获得访问权限我们需要先打开进程获取一个代表该访问权限的“句柄”Handle。import memoripy # 通过进程IDPID附着 process memoripy.MemProcess(pid1234) # 或通过进程名附着返回第一个匹配的进程 process memoripy.MemProcess(namenotepad.exe)关键技术点权限要求在类Unix系统Linux/macOS上附着进程通常需要root权限或相应的能力如CAP_SYS_PTRACE因为ptrace系统调用被用于此目的。在Windows上则需要具有PROCESS_VM_READ | PROCESS_VM_WRITE | PROCESS_VM_OPERATION等权限通常也需要以管理员身份运行。句柄管理MemProcess对象在初始化时获取句柄并在对象销毁时或调用close()时自动关闭。这是一个重要的资源管理机制避免句柄泄漏。平台差异封装MemProcess.__init__内部会根据平台调用_attach_win或_attach_unix方法处理各自平台的API调用和错误码转换。注意附着失败的最常见原因就是权限不足。如果你的脚本在非管理员/root权限下运行十有八九会抛出PermissionError或类似的异常。这是进行内存操作的第一道坎。2.2 虚拟内存布局与内存区域MemRegion现代操作系统的进程使用虚拟内存。一个进程的地址空间被划分为多个区域每个区域有不同的属性可读、可写、可执行、是否私有、映射的文件等。MemoriPy用MemRegion对象来描述这些区域。# 获取进程的所有内存区域 regions process.maps for region in regions: print(f起始地址: {hex(region.start)} 结束地址: {hex(region.end)} 权限: {region.perms} 路径: {region.pathname})关键技术点信息源在Linux上信息来源于解析/proc/[pid]/maps文件在Windows上则通过VirtualQueryExAPI枚举。MemRegion的属性如start、end、perms权限字符串如rwxp、pathname映射的文件路径如可执行文件或动态库都由此而来。权限字符串r可读w可写x可执行p私有写时复制s共享。尝试向一个只有r-x权限的区域写入数据会导致操作失败在Windows上可能引发访问违规异常。地址空间随机化ASLR这是现代操作系统的重要安全特性它会使每次程序运行时模块如exe、dll的加载基址发生变化。因此你不能硬编码地址。通常的策略是先找到模块的基址通过遍历process.maps寻找pathname匹配的region然后加上模块内的静态偏移量来得到最终地址。2.3 内存读写的基础地址、类型与字节序内存读写是核心操作但这里涉及两个容易混淆的概念虚拟地址和Python数据类型。# 读取一个4字节的整数假设是32位小端序 address 0x00400000 int_value process.read_int(address) print(f在地址 {hex(address)} 读取到的整数是{int_value}) # 写入一个浮点数 float_value 3.14159 process.write_float(address 0x100, float_value) # 读取原始字节 byte_data process.read(address 0x200, 16) # 读取16个字节关键技术点地址有效性传入的地址必须是目标进程用户空间内的有效虚拟地址。读取未映射或不可读的区域会导致异常。类型化读写MemoriPy提供了read_int、write_bytes、read_string等多种便捷方法。它们内部调用了通用的read/write并处理了Python类型到字节序列的转换。字节序Endianness这是跨平台和跨语言数据交换时的一个大坑。x86/x86-64架构使用小端序Little Endian即低位字节存储在低地址。而网络序通常是大端序。MemoriPy的读写方法默认遵循当前平台的字节序通常是小端序。如果你从内存中读取一个多字节整数然后要在不同架构的系统间传递就必须考虑字节序转换。struct模块是处理字节序的利器。字符串读取read_string方法通常假设字符串是以空字符\x00结尾的C风格字符串。它会一直读取直到遇到\x00。如果内存中不是这种格式或者没有终止符可能会导致读取过多数据或异常。3. 高级功能实战从内存修改到代码注入掌握了基础读写我们就可以进行一些更“高级”的操作了。这些功能让MemoriPy从一个内存查看器变成了一个强大的进程操控工具。3.1 动态内存分配与属性修改有时我们需要在目标进程中开辟一块新的内存用于存储数据或代码。# 在目标进程中分配一块 4096 字节一页的可读写内存 allocated_addr process.allocate(size4096, protrw) print(f分配的内存地址{hex(allocated_addr)}) # 向这块内存写入数据 data_to_write bHello from injected memory! process.write(allocated_addr, data_to_write) # 修改这块内存的保护属性为可读可执行用于注入代码 old_prot process.protect(allocated_addr, 4096, rx) print(f旧的内存保护属性{old_prot}) # ... 执行代码 ... # 操作完成后可以释放内存谨慎使用确保没有其他地方引用 # process.free(allocated_addr)关键技术点分配粒度内存分配通常以内存页Page为单位大小是系统相关的如4KB。即使你只申请1字节系统也可能分配一整个页。保护属性Protectionprot参数是字符串如rw读/写、rx读/执行、rwx读/写/执行。修改为可执行属性x是注入shellcode的前提。protect方法返回修改前的属性便于后续恢复。释放内存free方法调用底层API如VirtualFreeEx或munmap释放内存。必须极其谨慎确保没有正在使用这块内存的线程否则会导致目标进程崩溃。在大多数注入场景中分配的内存往往伴随进程生命周期不主动释放。3.2 远程线程创建与DLL注入这是MemoriPy最强大的功能之一。DLL注入是将一个动态链接库加载到目标进程的地址空间从而使其代码在目标进程上下文中执行。# 假设我们有一个编译好的DLL路径 dll_path rC:\MyInjection.dll # 或者Linux下的.so文件 # dll_path /home/user/MyInjection.so # 注入DLL injected process.inject_dll(dll_path) if injected: print(DLL注入成功) else: print(DLL注入失败。)技术原理与流程拆解inject_dll方法内部完成了一系列复杂操作计算DLL路径长度并将路径字符串转换为适合目标进程的格式宽字符或窄字符。在目标进程分配内存用于存储DLL的路径字符串。将路径写入目标进程内存使用write方法。获取加载库的函数地址在Windows上是LoadLibraryA/LoadLibraryW在Linux上是dlopen在macOS上是dlopen。这些函数位于系统库如kernel32.dll、libdl.so中其地址在目标进程和注入进程中是一致的由于系统库在所有进程中映射到相同的虚拟地址得益于ASLR对系统库的固定偏移或共享机制。创建远程线程调用create_thread将线程的入口点设置为LoadLibrary的函数地址并将参数设置为存储DLL路径的内存地址。等待线程结束线程执行LoadLibrary(路径)成功则返回模块句柄失败返回NULL。注入函数会等待线程结束并获取返回值。清理释放之前分配的用于存储路径的内存。手动创建远程线程执行Shellcode 有时我们不想注入整个DLL只想执行一小段机器码Shellcode。# 一段简单的x86/x64 Shellcode例如调用Sleep函数 # 这只是一个概念示例实际Shellcode需要精心构造 shellcode b\x48\x83\xECx28\x...\xC3 # 假设这是调用Sleep(5000)的Shellcode # 1. 分配可读可写可执行的内存 shellcode_addr process.allocate(sizelen(shellcode), protrwx) # 2. 写入Shellcode process.write(shellcode_addr, shellcode) # 3. 创建远程线程入口点就是Shellcode的地址 thread_handle process.create_thread(shellcode_addr) # 4. 可以等待线程结束对于无限循环的Shellcode则不会结束 # process.wait_for_thread(thread_handle)重要警告Shellcode注入是高级且危险的技术。Shellcode必须与目标进程的架构32/64位完全匹配。错误的Shellcode会立即导致目标进程崩溃。此外现代杀毒软件和EDR终端检测与响应产品会严密监控进程的远程线程创建和内存属性修改特别是分配RWX内存这种行为极易被检测和拦截。4. 实战案例一个简易的游戏内存修改器让我们结合一个虚构的、简单的游戏场景将上述知识点串联起来。假设有一个游戏“SimpleGame.exe”我们想修改其金币数量。4.1 第一步定位金币变量的内存地址这是最核心也是最困难的一步。我们通常使用外部工具如Cheat Engine, x64dbg进行扫描而不是用MemoriPy。启动游戏和Cheat Engine。附加到游戏进程。扫描初始金币数值比如100。在游戏中让金币发生变化比如花费10金币。在Cheat Engine中扫描变化后的数值90。重复步骤4-5直到筛选出少量地址。分析这些地址的访问和改写找到最稳定的那个。通常指向最终数据的地址是一个“静态地址”它可能是一个全局变量或者是模块基址偏移的形式。假设我们最终找到模块SimpleGame.exe基址偏移0x00123456实际地址计算SimpleGame.exe基址 0x001234564.2 第二步使用MemoriPy编写修改脚本import memoripy import time def modify_gold(pid, gold_amount): try: # 1. 附着到游戏进程 game memoripy.MemProcess(pidpid) print(f成功附着到进程 PID: {pid}) # 2. 寻找 SimpleGame.exe 的基址 game_base None for region in game.maps: # 在Windows上主模块的路径名通常是完整的exe路径 # 我们找可执行、有名称、且名称包含‘SimpleGame’的区域 if region.perms[2] x and region.pathname and SimpleGame.exe in region.pathname: game_base region.start print(f找到游戏模块基址: {hex(game_base)}) break if game_base is None: print(未找到游戏主模块) game.close() return # 3. 计算金币变量的绝对地址 gold_offset 0x00123456 gold_address game_base gold_offset print(f金币变量理论地址: {hex(gold_address)}) # 4. 验证地址尝试读取当前值假设是4字节整数 current_gold game.read_int(gold_address) print(f当前金币值: {current_gold}) # 5. 修改金币值 print(f尝试修改为: {gold_amount}) game.write_int(gold_address, gold_amount) # 6. 再次读取以确认修改成功 new_gold game.read_int(gold_address) print(f修改后金币值: {new_gold}) if new_gold gold_amount: print(金币修改成功) else: print(修改可能失败或地址不正确。) # 7. 关闭进程句柄非必需对象销毁时会自动关闭 game.close() except Exception as e: print(f操作过程中发生错误: {e}) if __name__ __main__: # 你需要先获取游戏的PID例如通过任务管理器 target_pid 5678 modify_gold(target_pid, 99999)4.3 第三步处理指针与多级偏移很多时候找到的地址不是一个简单的“基址偏移”而是一个多级指针链。例如Cheat Engine显示地址是[[“SimpleGame.exe”0x123456]0x20]0x8。这表示从SimpleGame.exe基址 0x123456处读取一个值这是一个指针地址A。从地址A 0x20处读取一个值这是另一个指针地址B。地址B 0x8才是最终存储金币的地址。MemoriPy需要手动解引用def read_multilevel_pointer(process, base, offsets): 读取多级指针指向的值。 :param process: MemProcess对象 :param base: 基地址int :param offsets: 偏移量列表如 [0x123456, 0x20, 0x8] :return: 最终地址 (int) address base for i, offset in enumerate(offsets): if i len(offsets) - 1: # 最后一次偏移直接返回最终地址如果要读值可以在这里调用 read_int 等 return address offset else: # 读取当前地址处的值作为下一级的指针 # 假设指针是目标进程位宽如64位进程是8字节 ptr_size 8 # 64位进程 # address process.read_int(address offset) # 如果指针是4字节整数 # 更通用的方法是读取指针大小的数据并解包 data process.read(address offset, ptr_size) address int.from_bytes(data, byteorderlittle, signedFalse) if address 0: raise ValueError(f在偏移 {hex(offset)} 处读到空指针。) return address # 使用示例 base game_base offsets [0x123456, 0x20, 0x8] final_addr read_multilevel_pointer(game, base, offsets) gold_value game.read_int(final_addr)5. 常见问题、排查技巧与安全考量在实际使用MemoriPy的过程中你会遇到各种各样的问题。下面是一些典型问题及其排查思路。5.1 附着进程失败症状PermissionError、AccessDenied或类似的异常。排查检查权限在Linux/macOS上使用sudo运行脚本。在Windows上以管理员身份运行终端或IDE。检查PID确认你提供的PID是正确的并且进程确实在运行。使用ps aux或任务管理器核对。检查进程状态目标进程是否处于调试状态或被其他调试器附着一个进程通常只能被一个调试器附着。防病毒/安全软件干扰某些安全软件会阻止非白名单进程进行内存操作。尝试暂时禁用或添加排除项。5.2 内存读写失败症状read/write方法抛出异常提示无效地址或访问违规。排查验证地址使用process.maps打印内存区域确认你要读写的地址落在某个具有相应权限r或w的区域之内。特别注意代码段r-x通常不可写。检查ASLR你是否硬编码了地址每次游戏重启后模块基址都会变。必须动态获取基址。检查指针链如果是多级指针中间某级指针可能为NULL0导致解引用失败。在read_multilevel_pointer函数中添加打印或断言来检查每一级的结果。数据类型与大小确认你使用的读写方法如read_int与目标内存中数据的实际类型和大小匹配。一个float和int在内存中的表示完全不同。5.3 DLL注入失败症状inject_dll返回False或目标进程无反应甚至崩溃。排查DLL路径路径必须是目标进程可访问的绝对路径。对于网络路径或包含特殊字符的路径要格外小心。在Windows上考虑使用os.path.abspath和os.path.exists检查。DLL依赖你的DLL可能依赖其他DLL如特定的VC运行时库而这些DLL在目标进程的环境下不存在或版本不匹配。使用Dependency Walker或ldd(Linux)检查依赖。DLL入口点DllMain函数中不要进行复杂的操作或长时间阻塞。这可能导致注入线程卡死或进程初始化失败。复杂的逻辑应放在DllMain之外通过创建的线程或导出函数来触发。杀毒软件DLL注入是安全软件的敏感行为很可能被拦截。在测试环境中进行。5.4 性能与稳定性考量频繁读写避免在循环中进行大量、细粒度的单次读写。如果需要读取一大块连续数据使用read(地址, 大长度)一次完成效率更高。句柄泄漏确保MemProcess对象在使用完毕后被正确回收离开作用域或手动调用close()。虽然Python有垃圾回收但显式关闭是好习惯。异常处理所有对目标进程的操作都应包裹在try...except块中。一个失败的操作不应该导致你的控制脚本崩溃。线程同步如果你注入的代码会创建线程或修改全局状态务必考虑线程安全问题。不恰当的同步可能导致数据竞争和进程不稳定。5.5 法律与道德边界最后也是最重要的一点我们必须讨论使用这类技术的边界。仅用于合法授权目标MemoriPy及其相关技术只能用于你拥有合法权限的进程。这包括你自己开发的软件、明确授权你进行测试的软件如公司内部的软件安全评估、在明确允许修改的沙盒或游戏私服环境中。尊重用户协议与法律修改在线游戏、商业软件的内存数据绝大多数情况下违反了其最终用户许可协议EULA可能导致账号封禁。更严重的是如果用于作弊、盗取数据或破坏系统可能构成违法行为。用于学习与研究MemoriPy是一个极佳的学习工具可以帮助你深入理解操作系统、进程模型、内存管理和软件安全。请在合法的、隔离的环境如虚拟机中开展你的实验。MemoriPy赋予了你强大的能力但正如蜘蛛侠的叔叔所说“能力越大责任越大。” 请务必将它用在正途用于提升你的技术、解决实际问题而不是去破坏规则。在实战中从简单的单机游戏修改开始逐步理解原理再过渡到更复杂的场景这才是安全且富有成效的学习路径。
