Как програмно прочитать последнее значение в стеке у чужого процесса?

Сейчас на форуме: tyns777, JustLife, zds, 2nd, morgot, Rio, CDK123, tihiy_grom (+4 невидимых)

Посл.ответ	Сообщение
Bonez92 Ранг: 39.6 (посетитель) Активность: 0.03↘0 Статус: Участник	Создано: 01 февраля 2009 07:38 · Личное сообщение · #1 Как прочитать последнее значение в стеке у чужого процесса? сначала CreateProcess, потрассируем до нужного места и берем значение в стеке. Но я не знаю как реализовать последнее.

dermatolog Ранг: 116.6 (ветеран), 8thx Активность: 0.05↘0 Статус: Участник	Создано: 01 февраля 2009 07:43 · Личное сообщение · #2 GetThreadContext+ReadProcessMemory?
Bonez92 Ранг: 39.6 (посетитель) Активность: 0.03↘0 Статус: Участник	Создано: 01 февраля 2009 08:19 · Личное сообщение · #3 dermatolog А как релизовать? (МСДН я читал)
__ Ранг: 115.1 (ветеран), 3thx Активность: 0.07↘0 Статус: Участник	Создано: 01 февраля 2009 08:36 · Личное сообщение · #4 Bonez92 пишет: А как релизовать? (МСДН я читал) читайте еще сталобыть до просветления
Clerk Ранг: 255.8 (наставник), 19thx Активность: 0.15↘0.01 Статус: Участник vx	Создано: 01 февраля 2009 09:18 · Личное сообщение · #5 > NtSuspendthread > NtGetContextThread - получаем Ss, Esp > NtQueryInformationThread(ThreadDescriptorTableEntry) - получаем базу и лимит сегмента. > CurrntStack = Selector.Base + Esp > CurrentStack < SYSTEM_BASIC_INFORMATION.HighestUserAddress > OldProtect = NtProtectVirtualMemory(CurrntStack, PAGE_READWRITE) > NtReadVirtualMemory(CurrntStack) > NtProtectVirtualMemory(CurrntStack, OldProtect) > NtResumeThread Получать базу сегмента обязательно(не всюду по дефолту база нулевая, поток может защищаться используя к примеру LDT).
Bonez92 Ранг: 39.6 (посетитель) Активность: 0.03↘0 Статус: Участник	Создано: 15 февраля 2009 07:33 · Личное сообщение · #6 Clerk Попробую. Заранее спасибо.
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 15 февраля 2009 09:19 · Личное сообщение · #7 Вы пробуйте, а потом уже пишите. Иначе это бесполезный флуд. Обращение не только к автору поста выше, а ко многим другим новичкам тоже.
SVIN95 Ранг: 39.0 (посетитель) Активность: 0.04↘0 Статус: Участник	Создано: 15 февраля 2009 12:09 · Личное сообщение · #8 Bonez92 Читай hxxp://www.delphisources.ru/pages/faq/base/exploration_tracer.html
AlexZ Ранг: 203.3 (наставник) Активность: 0.22↘0 Статус: Участник UPX Killer -d	Создано: 15 февраля 2009 12:38 · Личное сообщение · #9 Bonez92 пишет: сначала CreateProcess, потрассируем до нужного места и берем значение в стеке. Но я не знаю как реализовать последнее. Если это программный трэйс, то прсто прочитать контекст жертвы на нужном месте. А если иначе, то реадпроцесмемори. Но что-то мне подсказыват, что даже идею ты представляешь себе не оч.хорошо. ----- Я медленно снимаю с неё UPX... FF_User
Clerk Ранг: 255.8 (наставник), 19thx Активность: 0.15↘0.01 Статус: Участник vx	Создано: 15 февраля 2009 13:14 · Поправил: Модератор · Личное сообщение · #10 Archer Это ты мне штоли.. да мне это как два пальца.., а пробовать - это уже сотни раз юзалось. ты то тут причём. автору поста выше. непосредственно выше моего

Для печати