C++: la lecture de la mémoire d'un autre processus

J'aimerais avoir une fonction qui me permet de lire la mémoire d'un autre processus.
Je pensais à quelque chose comme ceci (pseudo-code):

staticAddress = 0x026E0DC4
processId = GetProcessIdByName(processName)
processHandle = GetProcessHandle(processId)
processBaseAddress = GetBaseAddress(processHandle)
addressToRead = processBaseAddress+staticAddress
readValueAsInt = ReadMemoryInt(processHandle, addressToRead)
readValueAsFloat = ReadMemoryFloat(processHandle, addressToRead)
readValueAsString = ReadMemoryString(processHandle, addressToRead)

Serait-ce même possible?
Voici ce que j'ai obtenu jusqu'à présent:

#include <Windows.h>
#include <conio.h>
#include <tlhelp32.h>
#include <string>
#include <psapi.h>
#pragma comment( lib, "psapi" )
int GetProcessId(char* ProcName) {
PROCESSENTRY32 pe32;
HANDLE hSnapshot = NULL;
pe32.dwSize = sizeof( PROCESSENTRY32 );
hSnapshot = CreateToolhelp32Snapshot( TH32CS_SNAPPROCESS, 0 );
if( Process32First( hSnapshot, &pe32 ) ) {
do {
if( strcmp( pe32.szExeFile, ProcName ) == 0 )
break;
} while( Process32Next( hSnapshot, &pe32 ) );
}
if( hSnapshot != INVALID_HANDLE_VALUE )
CloseHandle( hSnapshot );
return pe32.th32ProcessID;  
}
int GetModuleBase(HANDLE processHandle, string &sModuleName) 
{ 
HMODULE *hModules; 
char szBuf[50]; 
DWORD cModules; 
DWORD dwBase = -1; 
//------ 
EnumProcessModules(processHandle, hModules, 0, &cModules); 
hModules = new HMODULE[cModules/sizeof(HMODULE)]; 
if(EnumProcessModules(processHandle, hModules, cModules/sizeof(HMODULE), &cModules)) { 
for(int i = 0; i < cModules/sizeof(HMODULE); i++) { 
if(GetModuleBaseName(processHandle, hModules[i], szBuf, sizeof(szBuf))) { 
if(sModuleName.compare(szBuf) == 0) { 
dwBase = (DWORD)hModules[i]; 
break; 
} 
} 
} 
} 
delete[] hModules; 
return dwBase; 
}
int ReadMemoryInt(HANDLE processHandle, LPCVOID address) {
//LPVOID buffer = ??;
//SIZE_T size = ??;
SIZE_T NumberOfBytesToRead = 4; //??
ReadProcessMemory(processHandle, address, buffer, size, NumberOfBytesToRead)
return buffer; //??
}
int ReadMemoryFloat(HANDLE processHandle, LPCVOID address) {
//LPVOID buffer = ??;
//SIZE_T size = ??;
SIZE_T NumberOfBytesToRead = 8; //??
ReadProcessMemory(processHandle, address, buffer, size, NumberOfBytesToRead)
return buffer; //??
}
int ReadMemoryString(HANDLE processHandle, LPCVOID address) {
//LPVOID buffer = ??;
//SIZE_T size = ??;
SIZE_T NumberOfBytesToRead = 999; //??
ReadProcessMemory(processHandle, address, buffer, size, NumberOfBytesToRead)
return buffer; //??
}
int main()
{
//read an integer from "Program.exe"+0x05D8A3C4
int address = 0x05D8A3C4;
char* processName = "Program.exe";
int processId = GetProcessId(processName);
HANDLE processHandle = OpenProcess(PROCESS_ALL_ACCESS, false, processId);
int processBaseAddress = GetModuleBase(processHandle, (string)"Program.exe";
LPCVOID actualAddress = processBaseAddress+address;
int readValue = ReadMemory(processHandle, actualAddress);
std::cout << readValue << std::endl;
CloseHandle(processHandle);
return 0;
}

Comme vous pouvez le voir la forme de points d'interrogation dans le code que j'ai vraiment des doutes sur le "tampon" et "taille" paramètres de ReadProcessMemory. Je serais vraiment reconnaissant si quelqu'un pouvait m'aider à comprendre cela.

  • Donc, beaucoup de points d'interrogation! Quelle était la question?
  • La question est ci-dessous le code. "Pourriez-vous m'aider à compléter le code, expliquer mes erreurs et de me conduire dans la bonne direction?"
  • L'OP ne sais pas à propos de disposition de la mémoire, endianess, et le pointeur/valeur à l'intérieur de la mémoire. Veuillez faire preuve de politesse. @OP: autant que je sache, cela peut Vous mettre dans le dur travail.
  • Il semble que vous avez quelques problèmes fondamentaux avec C++ concepts, comme la façon de passer un pointeur vers une variable. Vous devriez probablement devenir meilleur-la maîtrise de C++ avant d'essayer de s'attaquer à quelque chose d'aussi compliqué que cela. (Aussi, les processus n'ont pas d'adresses de base. Les Modules ont des adresses de base. Un processus contient de nombreux modules.)
  • Ce n'est pas vraiment approprié. Il semble que vous voulez quelqu'un pour écrire votre programme pour vous.
  • Il n'est pas spécialement compliqué. E. g. J'ai écrit des programmes faisant cela, avant que je savais ce qu'est un tableau.
  • Je parlais de l'adresse de base du module principal. J'ai déjà eu à travailler maintenant et de le mettre dans mon code ci-dessus. @David Heffernan regardez de plus près le code. J'ai déjà fait de mon mieux, et le code est pratiquement fini. J'ai juste besoin de savoir comment je peux l'utiliser ReadProcessMemory de lire un int/float/chaîne. Et je ne suis certainement pas vous demander de vous écrire tout un programme. Je vous demande de compléter le mien. Ou pour me donner des conseils comment je pourrais le faire. Ou peut-être vous trouver des erreurs que je devrais connaître. Et oui, je suis un noob, je n'ai pas fait trop en C++.

InformationsquelleAutor Forivin | 2013-10-26
  1. 6

    Voici un exemple pour votre ReadMemoryInt() fonction:

    int ReadMemoryInt(HANDLE processHandle, LPCVOID address) {
int buffer = 0;
SIZE_T NumberOfBytesToRead = sizeof(buffer); //this is equal to 4
SIZE_T NumberOfBytesActuallyRead;
BOOL err = ReadProcessMemory(processHandle, address, &buffer, NumberOfBytesToRead, &NumberOfBytesActuallyRead);
if (err || NumberOfBytesActuallyRead != NumberOfBytesToRead)
/*an error occured*/ ;
return buffer; 
}

    La & dire que l'adresse de la variable est transmise, au lieu de sa valeur.

    Et dans ReadMemoryString() vous ne pouvez pas savoir la taille que vous avez besoin de lire, vous pouvez soit lire un gros bloc (taille 999) ou de lire de nombreux petits blocs jusqu'à ce que vous obtenez un contenant \0.

    Et si vous voulez savoir si cela fonctionne, vous pouvez le démarrer en un débogueur et de regarder si les valeurs que vous attendez sont retournés.

    • ReadMemoryString() sera similaire..
    • Merci, je viens de tester et il est revenu à 0 lorsqu'il doit retourner à 500. 🙁 250kb.de/u/131026/j/xh4b0Wap0bTC.jpg pastebin.com/vp2fk8TU
    • Vérifiez que GetLastError retourne. Vous devriez toujours vérifier quand un winapi fonction échoue. Êtes-vous à l'aide de Windows 7? Ensuite, vous pourriez avoir besoin d'ajuster votre privilèges (voir le PriviledgeCheck de la fonction dans les commentaires)
    • Je suis sur Windows 8, GetLastError() renvoie 299: ERROR_PARTIAL_COPY (Seulement une partie d'une requête ReadProcessMemory ou WriteProcessMemory a été complétée.) Je vais vérifier la previledge fonction. Merci.
    • Bon j'ai testé la fonction PriviledgeCheck(). Mais j'ai dû remplacer ErrorExit() avec printf() et de supprimer le dernier printf parce que c'était l'appel de SetPrivilege() qui n'existe pas... Cependant, il est toujours imprimé "Nan, Essayez de nouveau. Tenter de l'obtenir..."
    • avez-vous l'exécutez en tant qu'administrateur?
    • oui, j'ai essayé. toujours pas de travail
    • attendez, je n'ai pas vraiment lu votre commentaire. Vous supprimé SetPrivilege? Alors bien sûr, il ne fixe pas le privilège... Il y a un SetPrivilege exemple dans la msdn
    • Juste en dessous de l'inclut #pragma comment(lib, "cmcfg32.lib"), où puis-je obtenir ce cmcfg32.lib? Il ne semble pas être un choix par défaut. (Je suis vraiment désolé de poser autant de questions. :/
    • vous pourriez avoir googlé pour ça
    • Ok, j'ai juste supprimé la ligne et il compile bien. Je vais appeler SetPrivilege(mainToken, SE_DEBUG_NAME, vrai) et maintenant il retourne en fait vrai. Donc, si je suis correct, mon programme a les privilèges maintenant. Mais il renvoie toujours 0 quand il doit revenir 500.. pastebin.com/1m97Cr3Y
    • comment étrange. Ce n' GetLastError retour directement après ReadProcessMemory? Vous appelez SetPrivilege avant OpenProcess?
    • J'ai toujours 299 après readprocessmemory. Mais nvm, c'était une erreur stupide, j'ai passé "adresse" au lieu de "actualAddress" à ReadMemoryInt(). Merci beaucoup d'avoir pris autant de temps à m'aider! Je l'apprécie vraiment!

    InformationsquelleAutor BeniBela
  2. 2

    https://github.com/T-vK/Memory-Hacking-Class

    Est assez simple en classe pour faire tout cela et même plus.

    Ici est une liste de toutes les méthodes qu'il prend en charge: 

    GetProcessId()
GetModuleBase()
SetPrivilege()
GetDebugPrivileges()
ReadInt()
GetPointerAddress()
ReadPointerInt()
ReadFloat()
ReadPointerFloat()
ReadText()
ReadPointerText()

    Exemple d'utilisation:

    #include "Memory.hpp"
using std::string;
int main() {
char* TARGET_PROCESS_NAME = "League of Legends.exe";
int GAME_VERSION_MODULE_OFFSET = 0x2A1D738; //[Base address of 'League of Legends.exe']+0x2A1D738 (address of a string containing a version number)
Memory Memory;
Memory.GetDebugPrivileges();
int processId = Memory.GetProcessId(TARGET_PROCESS_NAME);
HANDLE processHandle = OpenProcess(PROCESS_ALL_ACCESS, false, processId);
int baseAddress = Memory.GetModuleBase(processHandle, (string)TARGET_PROCESS_NAME);
int gameVersionAddress = baseAddress + GAME_VERSION_MODULE_OFFSET;
string gameVersion = Memory.ReadText(processHandle, gameVersionAddress);
std::cout << "Game version: " << gameVersionAddress << std::endl;
cin.get();
return 0;
}

    Dans le cas où vous poseriez la question, oui, je suis l'auteur.

    InformationsquelleAutor Forivin