Ловильщик байтов

@KING563 · Регистрация: 30.04.2012

Студворк — интернет-сервис помощи студентам

помогите написать программу которая ловила байты
то есть программа должна в выбранный промежуток времени в выбранном модуле процесса должна получить адрес 0x00000 и байты которые меняются по данному адресу!

@alex_x_x · 30.04.2012, 21:15

Сообщение от KING563

то есть программа должна в выбранный промежуток времени в выбранном модуле процесса должна получить адрес 0x00000 и байты которые меняются по данному адресу!

по этому адресу запрещено писать, поэтому там поменяться ничего не должно

@KING563 · 30.04.2012, 21:17 **[ТС]**

адрес я взял для примера, то есть он должен быть в таком формате 0xАДРЕС

ValeryS · 30.04.2012, 21:44

Сообщение от KING563

адрес я взял для примера, то есть он должен быть в таком формате 0xАДРЕС

шустрый какой
не все так просто
почитай Соломона "Внутренне устройство майкрософт виндос" как устроена память у винды как внедрится в чужой процесс
было бы просто любой школьник вальнул бы систему
В частности все экзешники (как правило) начинаются с адреса 0х40000000
но один не может заглянуть в другой
если ты прочитаешь по адресу 0х40000000 2 байта то получишь 'M' 'Z' но это заголовок твоего процесса а не соседнего
а так то просто

C++
1
2
3
char * addr=0х40000000;
char a=addr[0];
char b=addr[1];

@KING563 · 30.04.2012, 21:59 **[ТС]**

ты не понял я знаю как внедрять в процесс и тд знания у меня есть
если бы я знал по какому адресу байты меняются,за пару сек программку бы накатал
а мне нужно чтобы программа сама нашла адресс по которому меняются байты.

ValeryS · 30.04.2012, 22:07

ну дак возми снимок памяти сохрани в файл
через некоторое время опять снимок
и сравни два файла

Добавлено через 4 минуты
память бери от 0х40000000(ниже стек и прочие служебные области)и до 0х80000000(выше система)
хотя если самодифицирующаяся программа то может загнать какую нибудь функцию в стек там расшифровать и запустить на выполнение
конкретизируй задачу

@KING563 · 30.04.2012, 22:15 **[ТС]**

можешь набросать код а то до меня чёт не очень дошло

Добавлено через 7 минут
всё теперь понял
а теперь помоги с кодом как сделать чтоб он сделал снимок и потом сравнил да снимка

ValeryS · 30.04.2012, 22:26

ну примерно так

C++
1
2
3
char *addr=0x40000000
for(int i=0;i<0x40000000;i++)
WriteFile(hFile1,addr[i],1.......

Добавлено через 1 минуту
Ты все таки Соломона почитай

Добавлено через 9 минут
полное название
"Внутреннее устройство Microsoft Windows: Windows Server 2003, Windows XP и Windows 2000."
Авторы: Руссинович М., Соломон Д. ..
Серия: Мастер-класс
http://www.piter.com/book.phtml?978546901174

@KING563 · 30.04.2012, 22:27 **[ТС]**

так я щас написал код который снимает всю память
теперь можешь написать код который будет сравнивать два текстовых файла
проверяет 1 фаил потом проверяет 2 фаил и различия переносит в 3 фаил

@Digit@ll · 01.05.2012, 00:11

А почему 0х40000000? Я знаю, что программы обычно загружаются с 0х00400000.

@alex_x_x · 01.05.2012, 00:15

Сообщение от Digit@ll

А почему 0х40000000? Я знаю что программы обычно загружаются с 0х00400000.

в PE/ELF формате бинарник специфицирует начиная с какого адреса спроецировать спроецировать исполняемую часть. Для dll/so есть базовые адреса загрузки и все такое
просто для PE это так, для COM было по-другому

ValeryS · 01.05.2012, 11:54

Сообщение от Digit@ll

А почему 0х40000000? Я знаю, что программы обычно загружаются с 0х00400000.

пардон, заклинило (в нулях запутался)
действительно обычно 0х00400000 (чаще всего)
но реально куда загрузчик бросит

@KING563 · 01.05.2012, 15:06 **[ТС]**

Сообщение от Digit@ll

А почему 0х40000000? Я знаю, что программы обычно загружаются с 0х00400000.

для примера

Добавлено через 15 секунд
у меня сам всю память копирует

@Digit@ll · 01.05.2012, 15:20

Пример в структуре SYSTEM_INFO в полях lpMinimumApplicationAddress и lpMaximumApplicationAddress функции GetSystemInfo.

@KING563 · 01.05.2012, 16:19 **[ТС]**

всем спасибо ,написал я програмку))

Новые блоги и статьи Все статьи Все блоги /
Знаешь почему 90% людей редко бывают счастливыми? kumehtar 14.04.2026 Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . . а удачный момент так и не приходит.	Фиксация колонок в отчете СКД Maks 14.04.2026 Фиксация колонок в СКД отчета типа Таблица. Задача: зафиксировать три левых колонки в отчете. Процедура ПриКомпоновкеРезультата(ДокументРезультат, ДанныеРасшифровки, СтандартнаяОбработка) / / . . .	Настройки VS Code Loafer 13.04.2026 { "cmake. configureOnOpen": false, "diffEditor. ignoreTrimWhitespace": true, "editor. guides. bracketPairs": "active", "extensions. ignoreRecommendations": true, . . .	Оптимизация кода на разграничение прав доступа к элементам формы Maks 13.04.2026 Алгоритм из решения ниже реализован на нетиповом документе, разработанного в конфигурации КА2. Задачи, как таковой, поставлено не было, проделанное ниже исключительно моя инициатива. Было так:. . .
Контроль заполнения и очистка дат в зависимости от значения перечислений Maks 12.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: реализовать контроль корректности заполнения дат назначения. . .	Архитектура слоя интернета для сервера-слоя. Hrethgir 11.04.2026 В продолжение https:/ / www. cyberforum. ru/ blogs/ 223907/ 10860. html Знаешь что я подумал? Раз мы все источники пишем в голове ветки, то ничего не мешает добавить в голову такой источник, который сам. . .	Подстановка значения реквизита справочника в табличную часть документа Maks 10.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: при выборе сотрудника (справочник Сотрудники) в ТЧ документа. . .	Очистка реквизитов документа при копировании Maks 09.04.2026 Алгоритм из решения ниже применим как для типовых, так и для нетиповых документов на самых различных конфигурациях. Задача: при копировании документа очищать определенные реквизиты и табличную. . .

@KING563 0 / 0 / 0 Регистрация: 30.04.2012 Сообщений: 8

	Ловильщик байтов 30.04.2012, 21:14. Показов 1090. Ответов 14 Метки нет (Все метки) помогите написать программу которая ловила байты то есть программа должна в выбранный промежуток времени в выбранном модуле процесса должна получить адрес 0x00000 и байты которые меняются по данному адресу! 0

@KING563 0 / 0 / 0 Регистрация: 30.04.2012 Сообщений: 8
	30.04.2012, 21:17 [ТС]
	адрес я взял для примера, то есть он должен быть в таком формате 0xАДРЕС 0

@KING563 0 / 0 / 0 Регистрация: 30.04.2012 Сообщений: 8
	30.04.2012, 21:59 [ТС]
	ты не понял я знаю как внедрять в процесс и тд знания у меня есть если бы я знал по какому адресу байты меняются,за пару сек программку бы накатал а мне нужно чтобы программа сама нашла адресс по которому меняются байты. 0

ValeryS Модератор 8981 / 6748 / 921 Регистрация: 14.02.2011 Сообщений: 23,871
	30.04.2012, 22:07
	ну дак возми снимок памяти сохрани в файл через некоторое время опять снимок и сравни два файла Добавлено через 4 минуты память бери от 0х40000000(ниже стек и прочие служебные области)и до 0х80000000(выше система) хотя если самодифицирующаяся программа то может загнать какую нибудь функцию в стек там расшифровать и запустить на выполнение конкретизируй задачу 0

@KING563 0 / 0 / 0 Регистрация: 30.04.2012 Сообщений: 8
	30.04.2012, 22:15 [ТС]
	можешь набросать код а то до меня чёт не очень дошло Добавлено через 7 минут всё теперь понял а теперь помоги с кодом как сделать чтоб он сделал снимок и потом сравнил да снимка 0

@KING563 0 / 0 / 0 Регистрация: 30.04.2012 Сообщений: 8
	30.04.2012, 22:27 [ТС]
	так я щас написал код который снимает всю память теперь можешь написать код который будет сравнивать два текстовых файла проверяет 1 фаил потом проверяет 2 фаил и различия переносит в 3 фаил 0

@Digit@ll Brainsbreaker 899 / 374 / 54 Регистрация: 01.02.2011 Сообщений: 1,608
	01.05.2012, 00:11
	А почему 0х40000000? Я знаю, что программы обычно загружаются с 0х00400000. 0

@Digit@ll Brainsbreaker 899 / 374 / 54 Регистрация: 01.02.2011 Сообщений: 1,608
	01.05.2012, 15:20
	Пример в структуре SYSTEM_INFO в полях lpMinimumApplicationAddress и lpMaximumApplicationAddress функции GetSystemInfo. 0

@KING563 0 / 0 / 0 Регистрация: 30.04.2012 Сообщений: 8
	01.05.2012, 16:19 [ТС]
	всем спасибо ,написал я програмку)) 0