Delphi-PRAXiS
Seite 1 von 2  1 2      
40 Beiträge dieses Themas auf einer Seite anzeigen

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Win32/Win64 API (native code) (https://www.delphipraxis.net/17-win32-win64-api-native-code/)
-   -   Delphi String mit ReadMemoryProcess auslesen (https://www.delphipraxis.net/136769-string-mit-readmemoryprocess-auslesen.html)

RedShakal 7. Jul 2009 19:57
String mit ReadMemoryProcess auslesen
 
Hallo, ich habe diverse Funktionen um Integer Werte aus dem Speicher fremder Programme auszulesen oder Funktionen mit z.b. Nop zu überpatchen. Leider finde ich aber keinerlei möglichkeit einen Textwert aus einer Adresse auszulesen. In der Adresse stehen die Namen aller Clients drin, die ich gern extern auswerten Würde. Wie stellt man das am besten an?

Fridolin Walther 7. Jul 2009 21:00
Re: String mit ReadMemoryProcess auslesen
 
Die Frage ist, was für ein String ist das. Pascal String? 0-terminiert? Ein Char Array fixer Länge? Je nachdem gäbe es unterschiedliche Möglichkeiten. Wenn der String keine fixe Länge hat (= Char Array) ist das Hauptproblem die Länge des Strings zu ermitteln. Bei Pascal Strings ist das noch relativ simpel zu ermitteln, da der erste Wert die Länge angibt. Bei Null-Terminierung dagegen muss wahrscheinlich zeichenweise gelesen werden bis man am 0-Char ankommt.

Ansonsten ist das Vorgehen egal um was für einen String es sich handelt, mehr oder weniger gleich:
Den Prozess mit MSDN-Library durchsuchenOpenProcess öffnen und die Speicherbereiche mit MSDN-Library durchsuchenReadProcessMemory auslesen. Gegebenenfalls ist beim Fehlen von Rechten auch ein MSDN-Library durchsuchenVirtualProtectEx notwendig sowie das Erlangen von Debug Previlegien (MSDN-Library durchsuchenSeDebugPrivilege).

Aber ohne genauere Angaben keine genaueren Informationen ;).

RedShakal 7. Jul 2009 22:37
Re: String mit ReadMemoryProcess auslesen
 
Also die Namen sind Dynamisch. Allerdings gibt es auch den einen oder anderen festen Wert der immer aus exakt 4 Buchstaben besteht. Dieser würde mir zu anfang genügen.

Was genau das für ein String ist kann ich leider nicht sagen, ich weiß nur das die original exe von 1998 ist und mit MS Visual C++ geschrieben wurde.

Fridolin Walther 7. Jul 2009 23:25
Re: String mit ReadMemoryProcess auslesen
 
Bei C++ ist es am wahrscheinlichsten, daß die Strings nullterminiert sind. Schau halt mal mit nem Hex Editor in den Prozessspeicher wie die Strings aussehen. Dort solltest Du dann auch sehen ob es normale ANSI Strings sind oder Unicode Strings.

himitsu 7. Jul 2009 23:32
Re: String mit ReadMemoryProcess auslesen
 
Abgesehn vom ShortString und vielen CharArrays sind in Delphi auch alle Strings zusätzlich noch #0-terminiert, darum lassen sie sich so schön in PChar umwandeln,

also kann man meißt davon ausgehn, daß ein String vermutlich #0-terminiert sein wird,
allerdings kannst du da im Speicher nicht so einfach rumschreiben, denn du weißt bestimmt nicht, wie die Speicherverwaltung der dynamischen Strukturen aussieht.

RedShakal 8. Jul 2009 15:24
Re: String mit ReadMemoryProcess auslesen
 
Die Strings sind in Unicode.

Ich habe mit dem Memory Editor Cheat Engine schon ein bisschen rumgespielt. Man kann die Namen ohne Probleme ändern, verlängern oder kürzen. Ist anscheiend Terminiert

RedShakal 11. Jul 2009 09:25
Re: String mit ReadMemoryProcess auslesen
 
*push*

Fridolin Walther 11. Jul 2009 09:41
Re: String mit ReadMemoryProcess auslesen
 
Wie vorzugehen ist, ist oben beschrieben. Magst Du etwa vollständigen Source haben?

RedShakal 11. Jul 2009 11:08
Re: String mit ReadMemoryProcess auslesen
 
Wenn ich den String wie oben beschrieben auslese, kommen immer Integer werte dabei heraus.

Fridolin Walther 11. Jul 2009 11:33
Re: String mit ReadMemoryProcess auslesen
 
Ich weiß ja nicht was Du machst, aber wenn Du es so implementiert hättest, wie von mir geschrieben würd es funktionieren:
Delphi-Quellcode:
function ReadWideStringFromProcessMemory(PID : Cardinal; AddressOfString : Cardinal) : WideString;
var
  ProcessHandle : THandle;
  WideCharRead : WideChar;
  BytesRead : Cardinal;
begin
  Result := '';
  ProcessHandle := OpenProcess(PROCESS_VM_READ, FALSE, PID);
  if ProcessHandle <> INVALID_HANDLE_VALUE then
    begin
      repeat
        ReadProcessMemory(ProcessHandle, Pointer(AddressOfString), @WideCharRead, SizeOf(WideCharRead), BytesRead);
        Inc(AddressOfString, SizeOf(WideCharRead));
        Result := Result + WideCharRead;
      until (Word(WideCharRead) = 0) or (BytesRead <> SizeOf(WideCharRead));
      CloseHandle(ProcessHandle);
    end;
end;
Prozess öffnen, ersten (Wide)Char lesen, an String anhängen, nächsten Char lesen, anhängen usw.. Als Abbruchbedingung dient entweder das terminierende Null-Char oder aber alternativ ein Lesefehler.


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:57 Uhr.
Seite 1 von 2  1 2      
40 Beiträge dieses Themas auf einer Seite anzeigen

Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz