Как найти значение в памяти процесса

Время на прочтение
6 мин

Количество просмотров 47K

Чем не устраивает ArtMoney

Часто возникает необходимость найти и поменять какие-либо строки/числа в чужой программе. С этой задачей лучше всего справляется ArtMoney. Для тех, кто не умеет или не хочет использовать отладчики, это на сегодня, наверное, единственный вариант, так как нормальных аналогов просто нету. Хотя ArtMoney и поддерживает очень много возможностей для работы с памятью, весь процесс происходит вручную, без возможности создания действий по алгоритму. Если значений много и их надо, например, менять при каждом запуске программы, то время, затрачиваемое на эту работу, превышает всякие допустимые пределы. Выход один — написать свой редактор памяти!

Ищем исходники

В свое время у меня возникла задача, требующая модификации значений в памяти другой программы постоянно во время ее работы. Одним из условий было, что программа будет работать и на других машинах, а это значит, что вариант записи в память по заранее определенным адресам не подходил бы: адреса для разных машин будут разные и нужно реализовывать именно поиск адресов в памяти.

Я принялся за написание загрузчика и стал искать информацию по этому вопросу. К сожалению я не владею Delphi, и когда обнаружилось, что большинство исходников именно на этом языке, я немного растерялся. Переписывать огромное количество кода на C++ у меня не было ни времени, ни возможности. Еще одним открытием стало, что ни один из найденных мной исходников не работал корректно: программа либо висла, либо работала с ошибками. К тому же работа всех этих программ по поиску в памяти занимала гораздо больше времени, чем должна (раз в 15-20 дольше ArtMoney).

Поиск по форумам (в т.ч. и английским) так же не был радостным: в темах, связанных с сабжем по C++ были обрывки кода (явно без необходимого функционала). Не помню тем, где бы автор успешно решил свой вопрос. Тем не менее я вынес определенные знания про устройство оперативной памяти в Windows и узнал о функциях, используемых в работе.

После нескольких дней мучений я нашел один полезный топик. Автор приводит вполне рабочую программу на C++, к сожалению работала она очень медленно. Решение есть там же в предпоследнем посте. Осталось только скомпоновать два кода и снабдить их комментариями. Думаю, приведенная ниже программа многим поможет решить задачу поиска по памяти процесса, ну и узнать что-то новое.

Поиск и редактирование значений в памяти программы

Программа для теста
#include <windows.h>

char szText[] = "Hello world.",
  szTitle[] = "Information";

main() {
  while (TRUE)
    MessageBox(NULL, szText, szTitle, MB_ICONINFORMATION);
  return EXIT_SUCCESS;
}
/*Просто выведем окошко, в котором через память будем менять текст*/
Сам редактор
#include <stdio.h>

#include <windows.h>

#include <tlhelp32.h>

#
define PROC_NAME "n00b.exe"#
define MAX_READ 128

int fMatchCheck(char * mainstr, int mainstrLen, char * checkstr, int checkstrLen) {
  /*
  Проверка наличия подстроки в строке.
  При этом под "строкой" подразумевается
  просто последовательность байт.
  */
  BOOL fmcret = TRUE;
  int x, y;

  for (x = 0; x < mainstrLen; x++) {
    fmcret = TRUE;

    for (y = 0; y < checkstrLen; y++) {
      if (checkstr[y] != mainstr[x + y]) {
        fmcret = FALSE;
        break;
      }
    }

    if (fmcret)
      return x + checkstrLen;
  }
  return -1;
}

char * getMem(char * buff, size_t buffLen, int from, int to) {
  /*
  Выделяем у себя память, в которой будем хранить
  копию данных из памяти чужой программы.
  */
  size_t ourSize = buffLen * 2;
  char * ret = (char * ) malloc(ourSize);

  memset(ret, 0, ourSize);

  memcpy(ret, & buff[from], buffLen - from);
  memset( & ret[to - from], 0, to - from);

  return ret;
}

char * delMem(char * buff, size_t buffLen, int from, int to) {
  /*
  Освобождаем память.
  */
  size_t ourSize = buffLen * 2;
  char * ret = (char * ) malloc(ourSize);
  int i, x = 0;

  memset(ret, 0, ourSize);

  for (i = 0; i < buffLen; i++) {
    if (!(i >= from && i < to)) {
      ret[x] = buff[i];
      x++;
    }
  }

  return ret;
}

char * addMem(char * buff, size_t buffLen, char * buffToAdd, size_t addLen, int addFrom) {
  /*
  Запись в память.
  */
  size_t ourSize = (buffLen + addLen) * 2;
  char * ret = (char * ) malloc(ourSize);
  int i, x = 0;

  memset(ret, 0, ourSize);

  memcpy(ret, getMem(buff, buffLen, 0, addFrom), addFrom);

  x = 0;
  for (i = addFrom; i < addLen + addFrom; i++) {
    ret[i] = buffToAdd[x];
    x++;
  }

  x = 0;
  for (i; i < addFrom + buffLen; i++) {
    ret[i] = buff[addFrom + x];
    x++;
  }

  return ret;
}

char * replaceMem(char * buff, size_t buffLen, int from, int to, char * replaceBuff, size_t replaceLen) {
  /*
  Заменяем найденную "строку" на свою.
  */
  size_t ourSize = (buffLen) * 2;
  char * ret = (char * ) malloc(ourSize);

  memset(ret, 0, ourSize);

  memcpy(ret, buff, buffLen); // copy 'buff' into 'ret'

  ret = delMem(ret, buffLen, from, to); // delete all memory from 'ret' betwen 'from' and 'to'
  ret = addMem(ret, buffLen - to + from, replaceBuff, replaceLen, from);

  return ret;
}

DWORD fGetPID(char * szProcessName) {
  PROCESSENTRY32 pe = {
    sizeof(PROCESSENTRY32)
  };
  HANDLE ss;
  DWORD dwRet = 0;

  ss = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);

  if (ss) {
    if (Process32First(ss, & pe))
      while (Process32Next(ss, & pe)) {
        if (!strcmp(pe.szExeFile, szProcessName)) {
          dwRet = pe.th32ProcessID;
          break;
        }
      }
    CloseHandle(ss);
  }
  return dwRet;
}

BOOL DoRtlAdjustPrivilege() {
  /*
  Важная функция. Получаем привилегии дебаггера.
  Именно это позволит нам получить нужную информацию
  о доступности памяти.
  */
  #
  define SE_DEBUG_PRIVILEGE 20 L# define AdjustCurrentProcess 0
  BOOL bPrev = FALSE;
  LONG(WINAPI * RtlAdjustPrivilege)(DWORD, BOOL, INT, PBOOL);
  *(FARPROC * ) & RtlAdjustPrivilege = GetProcAddress(GetModuleHandle("ntdll.dll"), "RtlAdjustPrivilege");
  if (!RtlAdjustPrivilege) return FALSE;
  RtlAdjustPrivilege(SE_DEBUG_PRIVILEGE, TRUE, AdjustCurrentProcess, & bPrev);
  return TRUE;
}

main() {
  /*** VARIABLES ***/
  HANDLE hProc;

  MEMORY_BASIC_INFORMATION mbi;
  SYSTEM_INFO msi;
  ZeroMemory( & mbi, sizeof(mbi));
  GetSystemInfo( & msi);
  /*
  Получаем информацию о памяти в текущей системе.
  */

  DWORD dwRead = 0;

  char * lpData = (VOID * ) GlobalAlloc(GMEM_FIXED, MAX_READ),
    lpOrig[] = "Information", // что ищем
    lpReplacement[] = "habrahabr.ru"; // на что меняем

  int x, at;
  /*****************/

  if (!lpData)
    return -1;

  ZeroMemory(lpData, MAX_READ);

  // открываем процесс
  do {
    hProc = OpenProcess(PROCESS_ALL_ACCESS,
      FALSE,
      fGetPID(PROC_NAME));
    if (!hProc) {
      Sleep(500);
      puts("Cant open process!n"
        "Press any key to retry.n");
      getch();
    }
  } while (!hProc);

  if (DoRtlAdjustPrivilege()) {
    /*
    Привилегии отладчика для работы с памятью.
    */

    puts("Process opened sucessfullyn"
      "Scanning memory...n");

    for (LPBYTE lpAddress = (LPBYTE) msi.lpMinimumApplicationAddress; lpAddress <= (LPBYTE) msi.lpMaximumApplicationAddress; lpAddress += mbi.RegionSize) {
      /*
      Этот цикл отвечает как раз за то, что наша программа не совершит
      лишних действий. Память в Windows в процессе делится на "регионы".
      У каждого региона свой уровень доступа: к какому-то доступ запрещен,
      какой-то можно только прочитать. Нам нужны регионы доступные для записи.
      Это позволит в разы ускорить работу поиска по памяти и избежать ошибок
      записи в память. Именно так работает ArtMoney.
      */

      if (VirtualQueryEx(fGetPID(PROC_NAME), lpAddress, & mbi, sizeof(mbi))) {
        /*
        Узнаем о текущем регионе памяти.
        */

        if ((mbi.Protect & PAGE_READWRITE) || (mbi.Protect & PAGE_WRITECOPY)) {
          /*
          Если он доступен для записи, работаем с ним.
          */

          for (lpAddress; lpAddress < (lpAddress + dwSize); lpAddress += 0x00000100) {
            /*
            Проходим по адресам указателей в памяти чужого процесса от начала, до конца региона
            и проверяем, не в них ли строка поиска.
            */

            dwRead = 0;
            if (ReadProcessMemory(hProc,
                (LPCVOID) lpAddress,
                lpData,
                MAX_READ, &
                dwRead) == TRUE) {
              /*
              Читаем по 128 байт из памяти чужого процесса от начала 
              и проверяем, не в них ли строка поиска.
              */

              if (fMatchCheck(lpData, dwRead, lpOrig, sizeof(lpOrig) - 1) != -1) {
                /*Нашли, сообщим об успехе и поменяем в чужом процессе искомую строку на нашу.*/
                printf("MEMORY ADDRESS: 0x00%xn"
                  "DATA:n", lpAddress);
                for (x = 0; x < dwRead; x++) {
                  printf("%c", lpData[x]);
                }
                puts("n");

                at = fMatchCheck(lpData,
                  dwRead,
                  lpOrig,
                  sizeof(lpOrig) - 1);

                if (at != -1) {
                  at -= sizeof(lpOrig) - 1;

                  lpData = replaceMem(lpData,
                    dwRead,
                    at,
                    at + sizeof(lpOrig) - 1,
                    lpReplacement,
                    /*sizeof(lpReplacement)-1*/
                    sizeof(lpOrig) - 1);

                  puts("REPLACEMENT DATA:");
                  for (x = 0; x < dwRead - sizeof(lpOrig) - 1 + sizeof(lpReplacement) - 1; x++) {
                    printf("%c", lpData[x]);
                  }
                  puts("n");

                  puts("Replacing memory...");
                  if (WriteProcessMemory(hProc,
                      (LPVOID) lpAddress,
                      lpData,
                      /*dwRead-sizeof(lpOrig)-1+sizeof(lpReplacement)-1*/
                      dwRead, &
                      dwRead)) {
                    puts("Success.n");
                  } else puts("Error.n");
                } else puts("Error.n");

              }

            }
          }

        } else puts("Error.n");
      } else puts("Error.n");
    }
  } else puts("Error.n");

  // // // // //
  // Cleanup
  if (hProc)
    CloseHandle(hProc);
  if (lpData)
    GlobalFree(lpData);
  ///////////////

  puts("Done. Press any key to quit...");
  return getch();
}

В заключении

Код сыроват, есть над чем поработать, но это, видимо, единственный готовый пример решения задачи на C++ в рунете. Я намеренно не стал делать здесь все исправления и освещать все ньюансы, т.к. это сильно раздуло бы статью (а она и так не маленькая получилась). В любом случае он будет полезен, как каркас для написания редактора памяти под свои нужды, а так же дает понимание, как надо производить поиск в памяти, чтобы он занимал несколько секунд, а не минут.

Еще раз упомяну топик из которого взяты исходники и принципы работы.

P.S. За инвайт благодарю donnerjack13589

Анализ памяти процесса

Организация памяти процессов ОС Windows рассмотрена во многих книгах и статьях. Мы изучим только те аспекты этого вопроса, которые имеют отношение к поиску переменных в памяти, а также чтению и записи их значений.

Адресное пространство процесса

Исполняемый EXE-файл и запущенный процесс ОС – это не одно и то же. Файл – это некоторые данные, записанные на устройство хранения информации (например жёсткий диск). Исполняемый файл содержит инструкции (или машинный код), которые выполняет процессор без каких либо дополнительных преобразований.

Когда вы запускаете EXE-файл, для его исполнения ОС нужно выполнить несколько шагов. Во-первых, прочитать его содержимое с устройства хранения и записать в

оперативную память

(random-access memory или RAM). Благодаря этому процессор получает намного более быстрый доступ к инструкциям из файла, поскольку скорость его интерфейса с RAM на несколько порядков выше чем с любым диском.

Когда содержимое файла записано в оперативную память, ОС загружает туда же все необходимые для его работы динамические библиотеки. После этого шага, процесс готов к выполнению. Поскольку все современные ОС для компьютеров и телефонов многозадачные, несколько процессов могут исполняться параллельно. Параллельность в данном случае не означает одновременность. То есть если у компьютера один процессор с одним ядром, он будет переключаться между процессами. В таком случае говорят о распределении процессорного времени. В многозадачных ОС этим занимается специальная программа

планировщик

(scheduler). Благодаря ей каждый процесс получает единицы времени (тики или секунды) в зависимости от своего приоритета.

Чем занимается запущенный процесс? Чтобы ответить на этот вопрос, заглянем в типичный исполняемый файл. В основном он содержит алгоритмы обработки и интерпретации каких-то данных. Следовательно, большая часть работы процесса заключается в манипуляции данными.

Где процесс хранит свои данные? Мы уже знаем, что ОС всегда загружает исполняемые инструкции в оперативную память. В случае данных, сам процесс может свободно выбрать место их хранения: жесткий диск, оперативная память или даже удалённый компьютер (например игровой сервер подключённый по сети). Большая часть данных, необходимых во время работы процесса копируются в оперативную память для ускорения доступа к ней. Поэтому, именно в RAM мы можем прочитать состояния игровых объектов. Они будут доступны на протяжении всего времени выполнения (runtime) процесса.

Иллюстрация 3-2 демонстрирует элементы типичного процесса. Как правило, он состоит из нескольких модулей. Обязательным из них является EXE, который содержит все инструкции и данные, загруженные из исполняемого файла. Другие модули (обозначенные DLL_1 и DLL_2) соответствуют библиотекам, функции которых вызываются из EXE.

Иллюстрация 3-2. Элементы типичного процесса Windows

Все Windows приложения используют как минимум одну системную библиотеку, которая предоставляет доступ к WinAPI функциям. Даже если вы не пользуетесь WinAPI явно в своей программе, компилятор вставляет вызовы ExitProcess и VirtualQuery автоматически в ходе компиляции. Они отвечают за корректное завершение процесса и управление его памятью.

Мы рассмотрели исполняемый файл и запущенный процесс. Теперь поговорим о библиотеках с функциями. Они делятся на два типа: динамически подключаемые (dynamic-link libraries или DLL) и статически подключаемые (static libraries). Главное различие между ними заключается во времени разрешения зависимостей. Когда исполняемый файл использует функцию библиотеки, говорят, что он от неё зависит.

Статически подключаемые библиотеки должны быть доступны в момент компиляции. Программа

компоновщик

собирает их и исполняемый файл в единый выходной файл. Таким образом, EXE модуль на иллюстрации 3-2 содержит машинный код и статических библиотек, и исполняемого файла.

Динамически подключаемые библиотеки также должны быть доступны в момент компиляции. Однако, результирующий файл на выходе компоновщика не содержит их машинный код. Вместо этого ОС ищет и загружает эти DLL библиотеки в момент запуска приложения. Если найти их не удалось, приложение завершает свою работу с ошибкой. На иллюстрации 3-2 у процесса есть два DLL модуля, соответствующие динамическим библиотекам.

Рассмотрим, как CPU выполняет инструкции процесса. Эти инструкции – элементарные шаги более сложных высокоуровневых алгоритмов. Результат выполнения каждого шага сохраняется в регистрах (или ячейках памяти) процессора и используется в дальнейшем или выгружается в оперативную память.

Запущенное приложение может использовать несколько алгоритмов в ходе своей работы. Некоторые из них могут выполняться параллельно (так же как процессы в многозадачной ОС).

Поток

(thread) – это часть машинного кода процесса, которая может выполняться независимо от других частей. Потоки взаимодействуют друг с другом (обмениваются информацией) через разделяемые ресурсы, например файл или область RAM. За выбор потока для исполнения в данный момент отвечает уже знакомый нам планировщик ОС. Как правило, число одновременно работающих потоков определяется числом ядер процессора. Но есть технологии (например hyper-threading от Intel), позволяющие более эффективно использовать мощности процессора и исполнять сразу два потока на одном ядре.

Иллюстрация 3-2 демонстрирует, что модули процесса могут содержать несколько потоков, а могут не содержать ни одного. EXE модуль всегда имеет главный поток (main thread), который первым получает управление при старте приложения.

Рассмотрим структуру памяти типичного процесса. Иллюстрация 3-3 демонстрирует адресное пространство процесса, состоящего из двух модулей: EXE и DLL библиотеки. Адресное пространство – это множество всех доступных процессу адресов памяти. Оно разделено на блоки, называемые сегментами. У каждого из них есть базовый адрес, длина и набор прав доступа (на запись, чтение и исполнение). Разделение на сегменты упрощает задачу контроля доступа к памяти. С их помощью ОС может оперировать блоками памяти, а не отдельными адресами.

Иллюстрация 3-3. Адресное пространство типичного процесса

Процесс на иллюстрации 3-3 имеет три потока (включая главный). У каждого потока есть свой сегмент стека. Стек – это область памяти, организованная по принципу «последним пришёл — первым вышел» («last in — first out» или LIFO). Она инициализируется ОС при старте приложения и используется для хранения переменных и вызова функций. В стеке сохраняется адрес инструкции, следующей за вызовом. После возврата из функции процесс продолжает свое выполнение с этой инструкции. Также через стек передаются входные параметры функций.

Кроме сегментов стека, у процесса есть несколько сегментов динамической памяти (heap), к которым имеет доступ каждый поток.

У всех модулей процесса есть обязательные сегменты: .text, .data и .bss. Кроме обязательных могут быть и дополнительные сегменты (например .rsrc). Они не представлены на схеме 3-3.

Таблица 3-1 кратко описывает каждый сегмент из иллюстрации 3-3. Во втором столбце приведены их обозначения в отладчике OllyDbg.

Таблица 3-1. Описание сегментов

Сегмент

Обозначение в OllyDbg

Описание

Стек главного потока

Stack of main thread

Содержит автоматические переменные (память под которые выделяется при входе в блок области видимости и освобождается при выходе из него), стек вызовов с адресами возврата из функций и их входные параметры.

Динамическая память ID 1

Heap

Дополнительный сегмент памяти, который создаётся при переполнении сегмента динамической памяти ID 0.

Динамическая память ID 0

Default heap

ОС всегда создает этот сегмент при запуске процесса. Он используется по умолчанию для хранения переменных.

Стек потока 2

Stack of thread 2

Выполняет те же функции, что и стек главного потока, но используется только потоком 2.

.text EXE модуля

Code

Содержит машинный код модуля EXE.

.data EXE модуля

Data

Содержит статические и не константные глобальные переменные модуля EXE, которые инициализируются значениями при создании.

.bss EXE модуля

Содержит статические и не константные глобальные переменные модуля EXE, которые не инициализируются при создании.

Стек потока 3

Stack of thread 2

То же самое, что и стек потока 2, только используется потоком 3.

Динамическая память ID 2

Дополнительный сегмент памяти, расширяющий сегмент динамической памяти ID 1 при его переполнении.

.text DLL модуля

Code

Содержит машинный код модуля DLL.

.data DLL модуля

Data

Содержит статические и не константные глобальные переменные модуля DLL, которые инициализируются значениями при создании.

.bss DLL модуля

Содержит статические и не константные глобальные переменные модуля DLL, которые не инициализируются при создании.

Динамическая память ID 3

Дополнительный сегмент памяти, расширяющий сегмент динамической памяти ID 2 при его переполнении.

TEB потока 3

Data block of thread 3

Содержит блок информации о потоке (Thread Information Block или TIB), также известный как блок контекста потока (Thread Environment Block или TEB). Он представляет собой структуру с информацией о потоке 3.

TEB потока 2

Data block of thread 2

Содержит TEB структуру потока 2.

TEB главного потока

Data block of main thread

Содержит TEB структуру главного потока.

PEB

Process Environment Block

Содержит блок контекста процесса (Process Environment Block или PEB). Эта структура данных с информацией о процессе в целом.

Пользовательские данные

User Share Data

Содержит данные, которые доступны и совместно используются текущим процессом и другим.

Память ядра

Kernel memory

Область памяти, зарезервированная для нужд ОС.

Предположим, что на иллюстрации 3-3 приведено адресное пространство процесса игрового приложения. В этом случае состояние игровых объектов может находится в сегментах, отмеченных красным цветом.

ОС назначает базовые адреса этих сегментов в момент старта приложения. Эти адреса могут отличаться от запуска к запуску. Кроме того, последовательность сегментов в памяти может также меняться. В то же время некоторые из сегментов, отмеченных синим цветом на иллюстрации 3-3 (например PEB, User Share Data и Kernel memory), имеют неизменный адрес при каждом старте приложения.

Отладчик OllyDbg позволяет прочитать структуру памяти (memory map) запущенного процесса. Иллюстрации 3-4 и 3-5 демонстрируют вывод OllyDbg для приложения, адресное пространство которого приведено на схеме 3-3.

Структура памяти процесса в OllyDbg

Иллюстрация 3-4. Структура памяти процесса в OllyDbg

Структура памяти процесса в OllyDbg

Иллюстрация 3-5. Структура памяти процесса в OllyDbg (продолжение)

Таблица 3-2 демонстрирует соответствие между схемой 3-3 и сегментами настоящего процесса из иллюстраций 3-4 и 3-5.

Таблица 3-2. Сегменты процесса

Базовый адрес

Сегмент

Обозначение в OllyDbg

001ED000

Стек главного потока

Stack of main thread

004F0000

Динамическая память ID 1

Heap

00530000

Динамическая память ID 0

Default heap

00ACF000
00D3E000
0227F000

Стеки вспомогательных потоков

Stack of thread N

00D50000-00D6E000

Сегменты EXE модуля «ConsoleApplication1»

02280000-0BB40000
0F230000-2BC70000

Дополнительные сегменты динамической памяти

0F0B0000-0F217000

Сегменты DLL модуля «ucrtbased»

7EFAF000
7EFD7000
7EFDA000

TEB вспомогательных потоков

Data block of thread N

7EFDD000

TEB главного потока

Data block of main thread

7EFDE000

PEB главного потока

Process Environment Block

7FFE0000

Пользовательские данные

User shared data

80000000

Память ядра

Kernel memory

Возможно, вы обратили внимание, что OllyDbg не может автоматически идентифицировать все сегменты динамической памяти. С этой задачей лучше справляются отладчик WinDbg и инструмент HeapMemView.

Поиск переменной в памяти

Внутриигровые боты читают состояния объектов из памяти процесса игрового приложения. Эти состояния могут храниться в нескольких переменных, находящихся в разных сегментах. Базовые адреса этих сегментов и смещение переменных внутри них могут меняться от запуска к запуску. Это означает, что абсолютные адреса переменных непостоянны. К сожалению, бот может читать данные из памяти только по абсолютным адресам. Следовательно, он должен уметь искать нужные ему переменные самостоятельно.

Термин «абсолютный адрес» неточен, если мы говорим о

модели сегментации памяти x86

. x86 – это архитектура процессора, впервые реализованная компанией Intel. Сегодня практически все настольные компьютеры имеют процессоры этой архитектуры. Правильный термин, который следует употреблять – «линейный адрес». Он вычисляется по следующей формуле:

линейный адрес = базовый адрес сегмента + смещение в сегменте

В этой главе мы продолжим использовать термин «абсолютный адрес», поскольку он интуитивно понятен.

Задачу поиска переменной в памяти процесса можно разделить на три этапа. В результате получится следующий алгоритм:

  1. 1.

    Найти сегмент, который содержит искомую переменную.

  2. 2.

    Определить базовый адрес сегмента.

  3. 3.

    Определить смещение переменной внутри сегмента.

Очень высока вероятность того, что переменная будет храниться в одном и том же сегменте при каждом старте приложения. Это правило не выполняется для сегментов динамической памяти, что связано с особенностью её организации. Если мы установили, что переменная не находится в сегменте динамической памяти, первый шаг алгоритма может быть выполнен вручную. Полученный результат можно закодировать в боте без каких-либо дополнительных условий и проверок. В противном случае бот должен искать сегмент самостоятельно.

Второй шаг алгоритма бот должен всегда выполнять сам. Как мы упоминали ранее, адреса сегментов меняются при старте приложения.

Последний шаг алгоритма – найти смещение переменной в сегменте. Нет никаких гарантий, что оно не будет меняться при каждом старте приложения. Однако, смещение может оставаться тем же в некоторых случаях. Это зависит от типа сегмента, как демонстрирует таблица 3-3. Таким образом, в некоторых случаях мы можем выполнить третий шаг алгоритма вручную и закодировать результат в боте.

Таблица 3-3. Смещение переменных в различных типах сегментов

Смещение переменной не меняется при перезапуске приложения.

В большинстве случаев смещение переменной не меняется. Но оно зависит от порядка выполнения инструкций (control flow). Если этот порядок меняется, смещение, скорее всего, тоже изменится.

Смещение переменной меняется при перезапуске приложения.

Поиск переменной в 32-битном приложении

Применим алгоритм поиска переменной на практике. Выполним все его шаги вручную для приложения ColorPix, которым мы пользовались в прошлой главе для чтения цветов и координат пикселей экрана. Это поможет лучше понять и запомнить все необходимые действия.

Приложение ColorPix является 32-битным. Скриншот его окна приведён на иллюстрации 3-6. Попробуем найти в памяти переменную, которая соответствует координате X выделенного на экране пикселя. На иллюстрации 3-6 она подчеркнута красной линией.

Иллюстрация 3-6. Окно приложения ColorPix

В ходе дальнейших действий вы не должны закрывать уже запущенное приложение ColorPix. Иначе, вам придется начать поиск переменной сначала.

Для начала найдём сегмент памяти, в котором хранится переменная. Эту задачу можно разделить на два этапа:

  1. 1.

    Найти абсолютный адрес переменной с помощью сканера памяти Cheat Engine.

  2. 2.

    Сравнить найденный адрес с базовыми адресами всех сегментов. Таким образом мы узнаем сегмент, в котором хранится переменная.

Чтобы найти переменную с помощью Cheat Engine, выполните следующие действия:

  1. 1.

    Запустите 32-битную версию сканера с правами администратора.

  2. 2.

    Выберите пункт главного меню «File» ➤ «Open Process». Вы увидите диалог со списком запущенных процессов (см. иллюстрацию 3-7).

Диалог выбора процесса Cheat Engine

Иллюстрация 3-7. Диалог выбора процесса Cheat Engine

  1. 1.

    Выберите процесс с именем «ColorPixel.exe» и нажмите кнопку «Open». В результате имя этого процесса отобразится в верхней части окна Cheat Engine.

  2. 2.

    Введите значение координаты X, которое вы видите в данный момент в окне ColorPixel, в поле «Value» окна Cheat Engine.

  3. 3.

    Нажмите кнопку «First Scan», чтобы найти абсолютный адрес указанного значения координаты X в памяти процесса ColorPixel.

Когда вы нажимаете кнопку «First Scan», значение в поле «Value» окна Cheat Engine, должно соответствовать тому, что отображает ColorPixel. Координата X изменится, если вы переместите курсор мыши по экрану, поэтому нажать на кнопку будет затруднительно. Воспользуйтесь комбинацией клавиш Shift+Tab, чтобы переключиться на неё и Enter, чтобы нажать.

В левой части окна Cheat Engine вы увидите результаты поиска, как на иллюстрации 3-8.

Результаты поиска Cheat Engine

Иллюстрация 3-8. Результаты поиска в окне Cheat Engine

Если в момент сканирования процесса несколько переменных имеют то же самое значение что и координата X, найденных переменных будет больше чем две. В этом случае вам надо отфильтровать ошибочные результаты. Для этого выполните следующие шаги:

  1. 1.

    Переместите курсор мыши, чтобы значение координаты X в окне ColorPixel изменилось.

  2. 2.

    Введите новую координату X в поле «Value» окна Cheat Engine.

  3. 3.

    Нажмите кнопку «Next Scan».

После этого в окне результатов должны остаться только две переменные, как на иллюстрации 3-8. В моём случае их абсолютные адреса равны 0018FF38 и 0025246C. У вас они могут отличаться, но это не существенно для нашего примера.

Мы нашли абсолютные адреса двух переменных, хранящих значение координаты X. Теперь определим сегменты, в которых они находятся. Для этой цели воспользуемся отладчиком OllyDbg. Для поиска сегментов выполните следующие шаги:

  1. 1.

    Запустите отладчик OllyDbg с правами администратора. Путь к нему по умолчанию:
    C:Program Files (x86)odbg201ollydbg.exe.

  2. 2.

    Выберите пункт главного меню «File» ➤ «Attach». Вы увидите диалог со списком запущенных 32-битных процессов (см. иллюстрацию 3-9).

Диалог выбора процесса OllyDbg

Иллюстрация 3-9. Диалог выбора процесса в отладчике OllyDbg

  1. 1.

    Выберите процесс «ColorPix» в списке и нажмите кнопку «Attach». Когда отладчик подключится к нему, вы увидите состояние «Paused» в правом нижнем углу окна OllyDbg.

  2. 2.

    Нажмите комбинацию клавиш Alt+M, чтобы открыть окно, отображающее структуру памяти процесса ColorPix. Это окно «Memory Map» приведено на иллюстрации 3-10.

Иллюстрация 3-10. Окно «Memory Map» со структурой памяти процесса

Переменная с абсолютным адресом 0018FF38 хранится в сегменте стека главного процесса («Stack of main thread»), который занимает адреса с 0017F000 по 00190000.

OllyDbg отображает только адрес начала сегмента и его размер. Чтобы вычислить конечный адрес, вы должны сложить два эти числа. Результат будет равен адресу начала следующего сегмента.

Вторая найденная нами переменная с адресом 0025246C находится в сегменте с базовым адресом 00250000, тип которого неизвестен. Найти его будет труднее чем сегмент стека. Поэтому мы продолжим работу с первой переменной.

Последний шаг поиска – расчёт смещения переменной в сегменте стека. Стек в архитектуре x86 растёт вниз. Это означает, что он начинается с больших адресов и расширяется в сторону меньших. Следовательно, базовый адрес стека равен его верхней границе (в нашем случае это 00190000). Нижняя границе стека может меняться по ходу его увеличения.

Смещение переменной равно разности базового адреса сегмента, в котором она находится, и её абсолютного адреса. В нашем случае мы получим:

Для сегментов динамической памяти, .bss и .data это вычисление выглядело бы иначе. Все они растут вверх (в сторону больших адресов), поэтому их базовый адрес соответствует нижней границе.

Теперь у нас есть вся необходимая информация, чтобы найти и прочитать координату X в любом запущенном процессе ColorPix. Алгоритм бота, который бы это делал, выглядит следующим образом:

  1. 1.

    Прочитать базовый адрес сегмента стека главного потока. Этот адрес хранится в TEB сегменте.

  2. 2.

    Вычесть смещение переменной (всегда равное C8) из базового адреса сегмента стека. В результате получим её абсолютный адрес.

  3. 3.

    Прочитать значение переменной из памяти процесса ColorPix по её абсолютному адресу.

Корректность первого шага алгоритма мы можем проверить вручную с помощью отладчика OllyDbg. Он позволяет прочитать информацию сегмента TEB в удобном виде. Для этого дважды щелкните по сегменту, который называется «Data block of main thread», в окне «Memory Map» отладчика. Вы увидите окно как на иллюстрации 3-11.

Иллюстрация 3-11. Окно OllyDbg с информацией TEB

Базовый адрес сегмента стека 00190000 указан во второй строчке открывшегося окна. Учтите, что этот адрес может меняться при каждом запуске приложения.

Поиск переменной в 64-битном приложении

Применим наш алгоритм поиска переменной для 64-битного приложения.

Отладчик OllyDbg не поддерживает 64-битные приложения, поэтому вместо него воспользуемся WinDbg.

Resource Monitor (монитор ресурсов) Windows 7 будет нашим приложением для анализа. Он распространяется вместе с ОС и доступен сразу после её установки. Разрядность Resource Monitor совпадает с разрядностью Windows. Чтобы запустить приложение, откройте меню Пуск (Start) Windows и введите следующую команду в строку поиска:

Иллюстрации 3-12 демонстрирует окно Resource Monitor.

Иллюстрация 3-12. Окно приложения Resource Monitor

Найдём переменную, хранящую размер свободной памяти системы. На иллюстрации её значение подчёркнуто красной линией.

Прежде всего найдём сегмент, содержащий искомую переменную. Для этого воспользуемся 64-битной версией сканера Cheat Engine. Интерфейс его 64 и 34-битных версий одинаков, поэтому вам нужно выполнить те же действия, что и при анализе приложения ColorPixel.

В моем случае сканер нашёл две переменные с адресами 00432FEC и 00433010. Определим сегменты, в которых они хранятся. Чтобы прочитать структуру памяти процесса с помощью отладчика WinDbg, выполните следующие действия:

  1. 1.

    Запустите 64-битную версию WinDbg с правами администратора. Путь к нему по умолчанию:
    C:Program Files (x86)Windows ­Kits8.1Debuggersx64windbg.exe.

  2. 2.

    Выберите пункт главного меню «File» ➤ «Attach to a Process…». Откроется окно диалога со списком запущенных 64-разрядных процессов, как на иллюстрации 3-13.

Диалог выбора процесса WinDbg

Иллюстрация 3-13. Диалог выбора процесса в отладчике WinDbg

  1. 1.

    Выберите в списке процесс «perfmon.exe» и нажмите кнопку «OK».

  2. 2.

    В командной строке отладчика, расположенной в нижней части окна «Command», введите текст !address и нажмите Enter. Структура памяти процесса отобразится в окне «Command», как на иллюстрации 3-14.

Структура памяти в WinDbg

Иллюстрация 3-14. Вывод структуры памяти процесса в окне «Command»

Обе переменные с абсолютными адресами 00432FEC и 00433010 находятся в сегменте динамической памяти с ID 2. Границы этого сегмента: с 003E0000 по 00447000. Смещение первой переменной в сегменте равно 52FEC:

00432FEC — 003E0000 = 52FEC

Для бота алгоритм поиска переменной, хранящей размер свободной памяти ОС в приложении Resource Monitor, выглядит следующим образом:

  1. 1.

    Прочитать базовый адрес сегмента динамической памяти с ID 2. Чтобы получить доступ к этим сегментам, надо воспользоваться следующими WinAPI функциями:

  2. 2.

    Добавить смещение переменной (в моем случае равное 52FEC) к базовому адресу сегмента. В результате получится её абсолютный адрес.

  3. 3.

    Прочитать значение переменной из памяти процесса.

Как вы помните, смещение переменной в сегменте динамической памяти обычно меняется при перезапуске приложения. В случае если приложение достаточно простое (как рассматриваемый нами Resource Monitor), порядок выделения динамической памяти может быть одним и тем же при каждом старте программы.

Попробуйте перезапустить Resource Monitor и найти переменную еще раз. Вы получите то же самое её смещение в сегменте, равное 52FEC.

Мы рассмотрели адресное пространство Windows процесса. Затем составили алгоритм поиска переменной в памяти и применили его к 32 и 64-разрядному приложениям. В ходе этого мы познакомились с функциями отладчиков OllyDbg и WinDbg для анализа структуры памяти процесса.

Asked
10 years, 4 months ago

Viewed
5k times

I’m interested in the basics. I have no idea where to begin with this. I’ve created this test program:

#include <stdio.h>

int main()
{
    char* test = "TEST04560";
    getchar();
    printf("%sn", test);
}

The goal is to locate the memory address of «TEST04560» using an external program. I know how to use ReadProcessMemory and WriteProcessMemory but I don’t know how to go about searching for a specific string in a program’s memory. Any tips in the right direction are greatly appreciated.

Prahalad Gaggar's user avatar

asked Jan 18, 2013 at 6:02

3

What operating system? Most all OSes have some sort of «debugging» facility that allows you to observe/modify other processes (if you have permissions, of course).

On Linux, this is ptrace.

On Windows, there is ReadProcessMemory, and friends.

And for searching data of any type, there is memcmp. If you know how to use ReadProcessMemory, you certainly are familiar with this function.

answered Jan 18, 2013 at 6:08

Jonathon Reinhart's user avatar

Jonathon ReinhartJonathon Reinhart

131k33 gold badges250 silver badges326 bronze badges

7

Вы не там ищете:

C++
1
2
3
4
5
//получаем начальный адрес процесса
LPVOID dwStart = GetBaseAddress(hProc);
 
//получаем размер занимаемой памяти
DWORD dwMemSize = GetMemorySize(hProc);

Здесь идет поиск, начиная с EntryPoint исполняемого файла exe и далее,
размером всего с Working Set, т.е. несколько мегабайт или около того.
А надо искать во всем адресном пространстве процесса.

NtQuerySystemInformation с кодом SystemBasicInformation (0), получите
структуру SYSTEM_BASIC_INFORMATION, из нее берете поля
MinimumUserModeAddress и MaximumUserModeAddress, это и есть нижний и
верхний диапазоны адресов поиска. А вовсе не EntryPoint + Working Set,
что вообще само по себе бессмысленно.

C++
1
start += mbi.RegionSize; //переходим на следующий регион

И это тоже неправильно. Двигаться надо по страницам (4К), а не по регионам.

Еще желательно учесть, что искомая строка может лежать на границе двух страниц.

C++
1
while(start < ((DWORD)dwStart + dwMemSize))

Лучше сразу заменить (здесь и в других местах, где адреса) DWORD на DWORD_PTR.
Потому что на x64 указатели вытягиваются с 4 байт до 8 (в DWORD не влезет, а
ошибок компиляции не будет).

C++
1
2
3
4
5
6
7
8
9
10
if(     (mbi.State == MEM_COMMIT)            //если регион в состоянии передачи памяти
                &&                                    //и
                (mbi.Protect != PAGE_READONLY)        //регион не только для чнения
                &&                                    //и
                (mbi.Protect != PAGE_EXECUTE_READ)    //регион не тролько с исполнением программного кода и чтением
                &&                                    //и
                (mbi.Protect != PAGE_GUARD)            //регион без сигнала доступа к странице
                &&                                    //и
                (mbi.Protect != PAGE_NOACCESS)        //регион не защищён доступом к нему
                )//то

Это, как мне кажется, ненужное ограничение.
Все, что нужно проверять — это то, что страница закоммичена и
доступна на чтение.

И хотя свою проблему я уже решил иначе, вопрос так и остался открытым :-D Ну, вот допустим, у меня есть своё приложение и я хочу найти в его адресном пространстве строку или значение байт. Чтобы считать из своего адресного пространства, B := Byte(Pointer(Address)^); S := PAnsiChar(Address); могу сделать так h := OpenProcess(PROCESS_VM_READ, False, GetCurrentProcessId); // или GetCurrentProcess ReadProcessMemory(h, Ptr(address), @B, 1, c); Или вот так. Но какой мне смысл в моём же приложении работать с памятью через ReadProcessMemory, когда можно напрямую?

10 окт 2012 в 20:20

Понравилась статья? Поделить с друзьями:
  • Как найти в дагестане живу
  • Как можно найти груз в москве
  • Видео как найти человека по картинке
  • Как найти ток эквивалентного источника
  • Как найти купорос ведьмак 3