Speicher überschreiben mit Inline ASM
 

Ich weiss nicht, ob das richtig hierrein gehört!
Ich möchte gern eine Speicherstelle von einem laufenden Spiel mit Inline ASM überschreiben, bzw ASM durch eigene code ersetzen, so wie Memory hacking tools das möglich macht wie z.B. Game Engine oder Tsearch. Inline ASM kennt ich schon, nur ich weiss nicht so genau wie es gehen soll.

Re: Speicher überschreiben mit Inline ASM
 

Mit Inline-Assembler hat das nicht direkt was zu tun, denn die Befehle sollen ja nicht in deinem Programm, sonderm im Zielprogramm ausgeführt werden. Daher musst du sie irgendwie als Datenstrom speichern, z.B. in einem Byte-Array, als Ressource, oder als Datei, die du zur Laufzeit lädst. Was das Überschreiben des Speichers anbelangt, kann ich dir nicht helfen. Eigentlich sollte das nach meinem Verständnis heutzutage auch gar nicht mehr möglich sein, da unter NT jeder Prozess seinen eigenen virtuellen Adressraum hat. Was wohl geht, ist Speicher in einem anderen Prozess zu alloziieren - aber überschreiben? Nicht, dass ich wüsste. Ich bin aber auch kein Experte - Was mir noch einfallen würde, wäre, sich irgendwie als Debugger einzuklinken, denn beim Debugger von Delphi ist es ja auch möglich, Werte im laufenden Programm abzuändern.
Es gibt sicher andere im Forum, die sich da besser auskennen. Allerdings ist die Frage, ob sie dich bei deinen eher zweifelhaften Absichten unterstützen wollen.

Re: Speicher überschreiben mit Inline ASM
 

Falls du einer Anwendung eine Extra Funktion hinzufügen willst, probiers mit DLL-Injection;
Falls du aber aufs ändern vom COde bist müsstest du
1. Speicher im Ziel-Prozess allozieren
2. Deinen Code ins Speicher schreibem
3. Orginale Code umbiegen (jmp zu deinen Code)
4. Richtig handhaben (mit rückwärtsjumps usw ..)

MfG

Re: Speicher überschreiben mit Inline ASM
 

das ist mir bewusst, nur wie stelle ich das mit inline asmbler an, denn ich hab den codeausschnitt von game engine und das ist genau in asm.

wie man den game prozess ausfindig macht, weiss ich schon, mit API "findwindows", nun kenne ich das bis jetzt, dass ich immer bytesweise in hex mit writememory mache, aber ich kenne nicht alle asm befehl in hexzahlen, ausserdem ist es schwerer. deshalb möchte ich das gern in asm machen.

Re: Speicher überschreiben mit Inline ASM
 

Wenn du den Prozess-Speicher direkt überschreibst, wird die alte Funktionalität nicht mehr gewährleistet sein. Wenn du so vorgehst, kannst du deine neue Funktion doch einfach in deine Exe einkompilieren und dann kopieren (dazu müsstest du aber auch die virtuelle Adresse im Prozess kennen). Die gängige Methode wäre aber eine DLL-Injection und das starten eines Threads im anderen Prozess, um den Speicher zu manipulieren.

Re: Speicher überschreiben mit Inline ASM
 

Was machst du eigentlich, wenn der Code, den du patchen willst, gerade ausgeführt wird?

Re: Speicher überschreiben mit Inline ASM
 

Er könnte eine Endlosschleife davorpatchen, dann eine Weile warten und alles andere dahinter patchen und zuletzt die Schleife beheben, dass ist allerdings sehr unsauber (zumal wohl nicht bekannt ist, wann der Codeblock sicher verlassen wurde) und die Variante mit der DLL ist eindeutig die bessere Lösung. Bei Veränderung des Codes ist auch zu beachten, dass der Code durchaus auch nochmal durchlaufen werden kann, falls sich der Beginn noch in der Prefetch befindet.

Re: Speicher überschreiben mit Inline ASM
 

DLL-Injection löst aber das grundlegende Problem nicht, nicht zu wissen, ob der Opfercode gerade ausgeführt wird. Das kann man eigentlich nur tun, wenn man den anderen Prozess stoppt (sollte man können, wenn man schon Threads starten/Speicher verändern kann) und alle Threads inspiziert. Solange einer einen R/EIP in den Zielcode hat.. Das Prinzip dürfte bekannt sein.

Re: Speicher überschreiben mit Inline ASM
 

Ich hab mal das Thema wieder neu aufgegriffen (aus Langeweile :D)

Im Anhang befindet sich ein Codesnippet - das leider als Trojaner erkannt wird / aber keins ist (Source mit dabei) - welches einfach eine Funktion in Notepad einintegriert.

MfG

Re: Speicher überschreiben mit Inline ASM
 

da wird die Heuristik zuschlagen. Ich nehme an, dass gerade der Vorgang der Codeinjection den Scanner zum Anschlagen bewegt.