Ловильщик байтов

@KING563 · Регистрация: 30.04.2012

Студворк — интернет-сервис помощи студентам

помогите написать программу которая ловила байты
то есть программа должна в выбранный промежуток времени в выбранном модуле процесса должна получить адрес 0x00000 и байты которые меняются по данному адресу!

@alex_x_x · 30.04.2012, 21:15

Сообщение от KING563

то есть программа должна в выбранный промежуток времени в выбранном модуле процесса должна получить адрес 0x00000 и байты которые меняются по данному адресу!

по этому адресу запрещено писать, поэтому там поменяться ничего не должно

@KING563 · 30.04.2012, 21:17 **[ТС]**

адрес я взял для примера, то есть он должен быть в таком формате 0xАДРЕС

ValeryS · 30.04.2012, 21:44

Сообщение от KING563

адрес я взял для примера, то есть он должен быть в таком формате 0xАДРЕС

шустрый какой
не все так просто
почитай Соломона "Внутренне устройство майкрософт виндос" как устроена память у винды как внедрится в чужой процесс
было бы просто любой школьник вальнул бы систему
В частности все экзешники (как правило) начинаются с адреса 0х40000000
но один не может заглянуть в другой
если ты прочитаешь по адресу 0х40000000 2 байта то получишь 'M' 'Z' но это заголовок твоего процесса а не соседнего
а так то просто

C++
1
2
3
char * addr=0х40000000;
char a=addr[0];
char b=addr[1];

@KING563 · 30.04.2012, 21:59 **[ТС]**

ты не понял я знаю как внедрять в процесс и тд знания у меня есть
если бы я знал по какому адресу байты меняются,за пару сек программку бы накатал
а мне нужно чтобы программа сама нашла адресс по которому меняются байты.

ValeryS · 30.04.2012, 22:07

ну дак возми снимок памяти сохрани в файл
через некоторое время опять снимок
и сравни два файла

Добавлено через 4 минуты
память бери от 0х40000000(ниже стек и прочие служебные области)и до 0х80000000(выше система)
хотя если самодифицирующаяся программа то может загнать какую нибудь функцию в стек там расшифровать и запустить на выполнение
конкретизируй задачу

@KING563 · 30.04.2012, 22:15 **[ТС]**

можешь набросать код а то до меня чёт не очень дошло

Добавлено через 7 минут
всё теперь понял
а теперь помоги с кодом как сделать чтоб он сделал снимок и потом сравнил да снимка

ValeryS · 30.04.2012, 22:26

ну примерно так

C++
1
2
3
char *addr=0x40000000
for(int i=0;i<0x40000000;i++)
WriteFile(hFile1,addr[i],1.......

Добавлено через 1 минуту
Ты все таки Соломона почитай

Добавлено через 9 минут
полное название
"Внутреннее устройство Microsoft Windows: Windows Server 2003, Windows XP и Windows 2000."
Авторы: Руссинович М., Соломон Д. ..
Серия: Мастер-класс
http://www.piter.com/book.phtml?978546901174

@KING563 · 30.04.2012, 22:27 **[ТС]**

так я щас написал код который снимает всю память
теперь можешь написать код который будет сравнивать два текстовых файла
проверяет 1 фаил потом проверяет 2 фаил и различия переносит в 3 фаил

@Digit@ll · 01.05.2012, 00:11

А почему 0х40000000? Я знаю, что программы обычно загружаются с 0х00400000.

@alex_x_x · 01.05.2012, 00:15

Сообщение от Digit@ll

А почему 0х40000000? Я знаю что программы обычно загружаются с 0х00400000.

в PE/ELF формате бинарник специфицирует начиная с какого адреса спроецировать спроецировать исполняемую часть. Для dll/so есть базовые адреса загрузки и все такое
просто для PE это так, для COM было по-другому

ValeryS · 01.05.2012, 11:54

Сообщение от Digit@ll

А почему 0х40000000? Я знаю, что программы обычно загружаются с 0х00400000.

пардон, заклинило (в нулях запутался)
действительно обычно 0х00400000 (чаще всего)
но реально куда загрузчик бросит

@KING563 · 01.05.2012, 15:06 **[ТС]**

Сообщение от Digit@ll

А почему 0х40000000? Я знаю, что программы обычно загружаются с 0х00400000.

для примера

Добавлено через 15 секунд
у меня сам всю память копирует

@Digit@ll · 01.05.2012, 15:20

Пример в структуре SYSTEM_INFO в полях lpMinimumApplicationAddress и lpMaximumApplicationAddress функции GetSystemInfo.

@KING563 · 01.05.2012, 16:19 **[ТС]**

всем спасибо ,написал я програмку))

Новые блоги и статьи Все статьи Все блоги /
http://iceja.net/ математические сервисы iceja 20.01.2026 Обновила свой сайт http:/ / iceja. net/ , приделала Fast Fourier Transform экстраполяцию сигналов. Однако предсказывает далеко не каждый сигнал (см ограничения http:/ / iceja. net/ fourier/ docs ). Также. . .	http://iceja.net/ сервер решения полиномов iceja 18.01.2026 Выкатила http:/ / iceja. net/ сервер решения полиномов (находит действительные корни полиномов методом Штурма). На сайте документация по API, но скажу прямо VPS слабенький и 200 000 полиномов. . .	Расчёт переходных процессов в цепи постоянного тока igorrr37 16.01.2026 / * Дана цепь постоянного тока с R, L, C, k(ключ), U, E, J. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа, решает её и находит переходные токи и напряжения на элементах схемы. . . .	Восстановить юзерскрипты Greasemonkey из бэкапа браузера damix 15.01.2026 Если восстановить из бэкапа профиль Firefox после переустановки винды, то список юзерскриптов в Greasemonkey будет пустым. Но восстановить их можно так. Для этого понадобится консольная утилита. . .
Сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/	WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .	Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .

@KING563 0 / 0 / 0 Регистрация: 30.04.2012 Сообщений: 8

	Ловильщик байтов 30.04.2012, 21:14. Показов 1062. Ответов 14 Метки нет (Все метки) помогите написать программу которая ловила байты то есть программа должна в выбранный промежуток времени в выбранном модуле процесса должна получить адрес 0x00000 и байты которые меняются по данному адресу! 0

@KING563 0 / 0 / 0 Регистрация: 30.04.2012 Сообщений: 8
	30.04.2012, 21:17 [ТС]
	адрес я взял для примера, то есть он должен быть в таком формате 0xАДРЕС 0

@KING563 0 / 0 / 0 Регистрация: 30.04.2012 Сообщений: 8
	30.04.2012, 21:59 [ТС]
	ты не понял я знаю как внедрять в процесс и тд знания у меня есть если бы я знал по какому адресу байты меняются,за пару сек программку бы накатал а мне нужно чтобы программа сама нашла адресс по которому меняются байты. 0

ValeryS Модератор 8979 / 6745 / 921 Регистрация: 14.02.2011 Сообщений: 23,858
	30.04.2012, 22:07
	ну дак возми снимок памяти сохрани в файл через некоторое время опять снимок и сравни два файла Добавлено через 4 минуты память бери от 0х40000000(ниже стек и прочие служебные области)и до 0х80000000(выше система) хотя если самодифицирующаяся программа то может загнать какую нибудь функцию в стек там расшифровать и запустить на выполнение конкретизируй задачу 0

@KING563 0 / 0 / 0 Регистрация: 30.04.2012 Сообщений: 8
	30.04.2012, 22:15 [ТС]
	можешь набросать код а то до меня чёт не очень дошло Добавлено через 7 минут всё теперь понял а теперь помоги с кодом как сделать чтоб он сделал снимок и потом сравнил да снимка 0

@KING563 0 / 0 / 0 Регистрация: 30.04.2012 Сообщений: 8
	30.04.2012, 22:27 [ТС]
	так я щас написал код который снимает всю память теперь можешь написать код который будет сравнивать два текстовых файла проверяет 1 фаил потом проверяет 2 фаил и различия переносит в 3 фаил 0

@Digit@ll Brainsbreaker 899 / 374 / 54 Регистрация: 01.02.2011 Сообщений: 1,608
	01.05.2012, 00:11
	А почему 0х40000000? Я знаю, что программы обычно загружаются с 0х00400000. 0

@Digit@ll Brainsbreaker 899 / 374 / 54 Регистрация: 01.02.2011 Сообщений: 1,608
	01.05.2012, 15:20
	Пример в структуре SYSTEM_INFO в полях lpMinimumApplicationAddress и lpMaximumApplicationAddress функции GetSystemInfo. 0

@KING563 0 / 0 / 0 Регистрация: 30.04.2012 Сообщений: 8
	01.05.2012, 16:19 [ТС]
	всем спасибо ,написал я програмку)) 0