Простите за ламерский вопрос, честно скажу гуглил мало на эту тему, но может быть кто-то поделится исходником на дельфи устанавливающим и обрабатывающим мемори браяк. Планирую инжектить длл в которой и реализую обработку бряка. С инжектом трудности нет.

| Сообщение посчитали полезным:

Посмотри исходники анпакера для аспака от пеко. Там есть модуль отладчика, вот это то что тебе нужно

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

v0id2k пишет:
Посмотри исходники анпакера для аспака от пеко. Там есть модуль отладчика, вот это то что тебе нужно

А есть ссылочка на них? Гуглю, но не нахожу...

| Сообщение посчитали полезным:

в чём сложность???

обрабатывай как хочешь SEH, VEH, ...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn спасибо за код! Я не очень силён в дельфи, TDebugger это что-то самописное или есть такой компонент?

| Сообщение посчитали полезным:

ToBad

самописное конечно может тогда стоит подучить сабж?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Хм... Если ты не силен в делфе, зачем тогда тебе пример именно на этом языке? Насчет анпакера, то поищи по форуму, выложил бы сам да нет возможности.

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

Ради бога, можно и без исходников - главное принцип, звучит он так: установка memory breakpoint есть назначение коду, на который хочешь поставить этот самый breakpoint, атрибутов PAGE_GUARD, когда программа обратиться к странице с такими атрибутами, получим исключение, его нужно обработать, чтоб снять этот breakpoint и продолжить выполнение кода жертвы, для этого мы должны либо подключиться к жертве в качестве отладчика, либо использовать VEH, но это уже менее универсально, ещё можно написать свой драйвер, который будет обрабатывать эти исключения, всё зависит от того, как далеко ты готов зайти

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Hellspawn пишет:
может тогда стоит подучить сабж?

Да, да... Вот хочу на конкретном примере. Надобность возникла.


v0id2k пишет:
Если ты не силен в делфе, зачем тогда тебе пример именно на этом языке?

Не, ну что-то могу, просто углубляюсь в более сложное по мере надобности...
А так вообще дельфи для меня оптимальный вариант.

Посмотри исходники анпакера для аспака от пеко.

Посмотрел и нашёл всё... Отстал я от жизни, не понял сразу кого ты так назвал, иначе нашёл бы раньше.

| Сообщение посчитали полезным:

Установка.. да загрузи отладочные регистры и обработай исключение, в чём трабла ?
Или ты про сторожевые страницы хз..
> можно написать свой драйвер, который будет обрабатывать эти исключения
Вам товарищ тока драйвера писать

| Сообщение посчитали полезным:

ARCHANGEL пишет:
для этого мы должны либо подключиться к жертве в качестве отладчика

Когда жертва подгружает мою длл, из этой длл я смогу так сделать?
Драйвер писать не осилю, да и не вижу смысла в контексте моей задачи.

| Сообщение посчитали полезным:

Clerk пишет:
Вам товарищ тока драйвера писать
Ээх, это да, справедливо подколол, но я буду стараться

ToBad
Если жертва подгружает твою библиотеку, то так можно и не делать, достаточно VEH, нот.к. вехи ппашут, начиная с WinXp, то для более ранних версий ОС это не годится, а по этому вопросу советую почитать Рихтера, там, вроде бы, если мне не изменяет память (щас перед собой у менянету этой книженции) описываются такие извраты, как длл подключить в качестве отладчика, ещё можно установить финальный обработчик через SetUnhandledExceptionFilter, и, если происходит исключение, которое в нормальных условиях просто не могло произойти, т.е. программист не продумывал такую ситуацию,что страницы кода могут иметь такой атрибут, как PAGE_GUARD, то,вероятно, что его сехи могут такую ситуацию и не обработать, тогда управление получит твой обработчик, далее, из извратов, никто ведь не запрещает нам вмешиваться в процесс обработки исключений непосредственно перехватом в ntdll.dll из третьего кольца KiUserExceptionDispatcher. Но это уже действительно изврат)))

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

> непосредственно перехватом в ntdll.dll из третьего кольца KiUserExceptionDispatcher. Но это уже действительно изврат
Почемуже изврат ?
Если только потому, что это жесткий перехват и обнаруживается например рку то наверно это нигде не имеет значения. Я считаю перехват ядерных калбэков в нтдлл самым эффективным. Более того, довольно часто возникает задача установить свой обработчик исключений в чужом процессе, из юзермода невозможно удалённо зарегистрировать VEH, так как указатель на обработчик шифруется ксором с значением, которое случайно и не может быть определено из другого процесса.
А VEH это единственный механизм обработки исключений, который глобален в процессе(для всех потоков), именно он обрабатывается первым, после идёт обработка SEH, но она локальна для каждого потока. Так что к сожалению никак глобально первым исключение не обработать, кроме как выполнив жёсткий перехват(например Call RtlDispatchException).
А обработка в конечном обработчике слишком не надёжна, исключение по доступу к сторожевой страницы является палевным, аналогично как трассировочное.

| Сообщение посчитали полезным:

RtlDispatchException не экспортируется к сожалению, хотя её можно найти чуть дальше KiUserExceptionDispatcher по опкоду call'а. если кто будет перехватывать KiUserExceptionDispatcher не забудьте что у этого stdcall callback'а нет адреса возврата)

-----
Shalom ebanats!

| Сообщение посчитали полезным:

Погуглил и нашёл пример:
Смогу ли я так перехватывать и обрабатывать обращение к памяти?



| Сообщение посчитали полезным:

ToBad
Тебе нужно определить для себя что есть останов по доступу к памяти.
В юзермоде варианты разные есть.
> Использовать аппаратный останов, адрес определён в отладочных регистрах. Для потока максимум 4 точки останова можно задать, локален в потоке. Также существенным недостатком является адрес останова, который получает диспетчер исключений - по доступу к данным Eip будет указывать на следующую инструкцию, при исполнении инструкции по адресу останова Eip указывает на адрес инструкции, вызвавшей останов(который в DrX).
> Использовать сторожевые страницы. Страница помечается атрибутом PAGE_GUARD, при обращении к ней этот атрибут снимается и генерируется исключение STATUS_GUARD_PAGE_VIOLATION. Недостаток заключается в рассинхронизации, тоесть первый поток обращается к сторожевой странице, она разлочивается(снимается атрибут PAGE_GUARD), этот поток входит в диспетчер исключений, в это время второй поток обратится к этой странице и исключение не произойдёт. Можно считать что этот механизм локален для потока.
> Использовать исключение по доступу к не выделенной странице. Страница помечается как PAGE_NOACCESS, либо иной атрибут, в зависимости от типа доступа генерируется исключение STATUS_ACCESS_VIOLATION. Глобально в процессе.
У каждого способа есть свои недостатки и преимущества.

| Сообщение посчитали полезным:

Clerk, какие недостатки у PAGE_NOACCESS?

-----
Shalom ebanats!

| Сообщение посчитали полезным:

SLV
1. Невозможность исполнения кода, который находится в тойже странице, за которой необходимо следить.
2. При каждом обращении к странице для исполнения инструкции после останова необходимо восстанавливать атрибуты страницы, после чего снова страница должна быть не доступной к примеру на запись. Тоесть необходимо выполнить трассировку инструкции. Трассировка будет обнаружена.
3. Скорость исполнения низкая.

| Сообщение посчитали полезным:

Clerk, а есть идеи как тогда можно контролировать доступ к памяти без потери скорости и без потерь на многопоточности? если бы цель была поставить простой breakpoint без debug api было бы намного проще, обрабатывать ExceptionRecord->ExceptionCode на STATUS_BREAKPOINT, но это изменение памяти и сработает только при выполнении, т.е. другая задача.
кроме хука KiUserExceptionDispatcher, можно хитро перехватить саму ZwRaiseException для контроля эксепшенов, с выходом из функции без вызова при необходимости

-----
Shalom ebanats!

| Сообщение посчитали полезным:

Clerk я не знаю как лучше и что именно мне подойдет. Задача написать логгер обращения к определенной ячейке. В принципе только это интересует. Буду запоминать предыдущее состояние ячейки, а при срабатывании писать в файл адрес из которого изменилось содержимое, старое и новое значение. Разумеется после этого должен продолжать нормальную работу жертвы. Знаю что доступ происходит не очень часто, так что скорость не важна, но возможно осуществляется из нескольких потоков и наверняка применяется косвенная адресация к ячейке которую и хочу отловить.

| Сообщение посчитали полезным:

ToBad
Тогда лучше использовать аппаратные точки останова.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ToBad
Тогда наверное тебе будет легче через отладочные регистры работать. И удобнее и скорость работы быстрее
ARCHANGEL
Опередил))

-----
Research For Food

| Сообщение посчитали полезным:

Если код читает/сбрасывает Dr-контекст то логгер работать не будет.
Более того, если он сам использует 4 хардварные регистра, код под логгером работать не будет.

| Сообщение посчитали полезным:

в свое время нашел на ачате:



| Сообщение посчитали полезным:

это для простых, а не мемори бряков

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

g-l-u-k
Это код, проверяющий наличие int 3 бряка в начале функции MessageBoxA

-----
Research For Food

| Сообщение посчитали полезным:

> function breakpoint(dll:Thandle;addr:pointer):boolean;
чё это за ересь, из пинча чтоли?)

-----
Shalom ebanats!

| Сообщение посчитали полезным:

> Задача написать логгер обращения к определенной ячейке
Если она одна/пара - лучше, на мой взгляд, отладочные регистры

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax пишет:
Если она одна/пара - лучше, на мой взгляд, отладочные регистры

Да, уже понял. Буду так и пытаться. daFix подкинул массу инфы, потихоньку изучаю.
Но если кто кинет готовым кодом на дельфи, буду только рад.

g-l-u-k - к сожалению это не то.

| Сообщение посчитали полезным:

А чем тебе ПЕ_Киловские сорсы не подходят?

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: