Заморозка чужого процесса и работа с его памятью - eXeL@B

Сейчас на форуме: localhost1, vsv1, asfa, tyns777 (+5 невидимых)

<< . 1 . 2 .

Посл.ответ	Сообщение
hipp0gryph Ранг: 1.6 (гость) Активность: 0.03↘0.01 Статус: Участник	Создано: 29 июня 2019 20:23 · Личное сообщение · #1 В чужой программе есть два .dll файла. Нужно как-то заморозить процесс и вырезать эти .dll файлы. Словно все это делается ручками в ProcessHacker'е. Как это можно сделать на C++? Никак не могу найти подходящей информации, видимо заходить надо издалека. Направьте меня пожалуйста. Заранее спасибо!)

Boostyq Ранг: 90.1 (постоянный), 91thx Активность: 0.29↗0.56 Статус: Участник	Создано: 11 апреля 2020 20:22 · Поправил: Boostyq · Личное сообщение · #2 hipp0gryph пишет: подчеркивает и пишет Попробуйте просто: printf("0x%x\n", offset); cout менее удобен, чем printf. %x - беззнаковое число до 32 бит в hex, %llx - беззнаковое число 64-бит в hex, %zx - беззнаковое число 32/64-бит в hex (зависит от текущей архитектуры). А вообще на вывод не налегайте, пользуйтесь отладчиком студии, на порядок быстрее. ----- В облачке многоточия \| Сообщение посчитали полезным: hipp0gryph
hipp0gryph Ранг: 1.6 (гость) Активность: 0.03↘0.01 Статус: Участник	Создано: 11 апреля 2020 20:38 · Личное сообщение · #3 Да, спасибо) Уже получилось!) Да и адреса я понял и осознал. Враг подкрался незаметно. Расчеты вне скобок - зло товарищи!!!) Не знаю, как не заметил отсутствие скобок раньше. Прошу меня простить за неопытность, сейчас наверное залью самый наглядный код за историю интернета на C++ и скрины по поиску значения через базовый адрес и оффсеты. Добавлено спустя 11 минут Итак, находим базовый адрес и оффсеты через CE. Как это делать, можно посмотреть в интернете. Способов много я делал с помощью автоматического pointer scan в CE. (самый простой способ, хоть теперь я и предпочитаю другой) Потом у нас получается то, что на скрине выше. Оттуда я взял первый указатель с адресом 5D9DFA00, поставил галочку у hex рядом с поиском, в поле поиска забил этот указатель и нашел зелененький базовый адрес. Далее смотрим код и проводим по аналогии замену базового адреса и оффсетов. PROFIT!!!) Code: #include <Windows.h> #include <TlHelp32.h> #include <string> #include <iostream> using namespace std; DWORD FindProcessId(string processName) { PROCESSENTRY32 peInfo; peInfo.dwSize = sizeof(peInfo); HANDLE _hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, NULL); if (_hSnap == INVALID_HANDLE_VALUE) return 0; Process32First(_hSnap, &peInfo); if (!processName.compare(peInfo.szExeFile)) { CloseHandle(_hSnap); return peInfo.th32ProcessID; } while (Process32Next(_hSnap, &peInfo)) { if (!processName.compare(peInfo.szExeFile)) { CloseHandle(_hSnap); return peInfo.th32ProcessID; } } CloseHandle(_hSnap); return 0; } int main() { HANDLE _hProc = NULL; DWORD _pID = NULL; _pID = FindProcessId("Name.exe"); cout <<"Pid: " <<_pID << endl; _hProc = OpenProcess(PROCESS_VM_READ, NULL, _pID); DWORD base = 0x10070E98; DWORD offset; int num=0; while (true) { ReadProcessMemory(_hProc, (PBYTE)base, &offset, sizeof(int), 0); cout << hex << offset* << endl; ReadProcessMemory(_hProc, (PBYTE)(offset* + 0xA0), &offset, sizeof(int), 0); cout << hex << offset << endl; ReadProcessMemory(_hProc, (PBYTE)(offset* + 0x10), &offset, sizeof(int), 0); cout << hex << offset << endl; ReadProcessMemory(_hProc, (PBYTE)(offset* + 0x24), &offset, sizeof(int), 0); cout << hex << offset << endl; ReadProcessMemory(_hProc, (PBYTE)(offset* + 0x0), &offset, sizeof(int), 0); cout << hex << offset << endl; ReadProcessMemory(_hProc, (PBYTE)(offset* + 0x28), &num, sizeof(int), 0); cout << dec <<num << endl; //Sleep(5000); system("pause"); system("cls"); } return 0; } Добавлено спустя 12 минут Надеюсь кому-то поможет. Потому что я такой инфы найти не мог и многие тонкости в интернете не раскрывались при самых разных запросах в сторону гугла

<< . 1 . 2 .

Для печати

Для печати