AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Win32/Win64 API (native code) Delphi ReadProcessMemory - Zugriff bemerkbar?
Thema durchsuchen
Ansicht
Themen-Optionen

ReadProcessMemory - Zugriff bemerkbar?

Ein Thema von elliott · begonnen am 14. Jan 2008 · letzter Beitrag vom 14. Jan 2008
Antwort Antwort
elliott

Registriert seit: 3. Apr 2006
17 Beiträge
 
Delphi 2005 Personal
 
#1

ReadProcessMemory - Zugriff bemerkbar?

  Alt 14. Jan 2008, 16:23
Hallo!

Ich wollte gern mal von den Experten wissen ob denn ein Zugriff über ReadProcessMemory bemerkbar ist?

Um es zu verdeutlichen:
Programm A - eine beliebige Software in C, Delphi oder irgendeiner anderen Sprache programmiert
Programm B - ein Delphi-Programm, welches mit ReadProcessMemory den Speicher von anderen Programmen auslesen kann.
Beide Programme laufen unter Windows XP mit Admin-Rechten.

Wenn Programm B den Speicher von Programm A ausliest - kann Programm A dies bemerken?

Knappe Antworten reichen vollkommen aus. Wenn es möglich sein sollte, dann bitte kurz erklären wie!

Danke!
  Mit Zitat antworten Zitat
Benutzerbild von sirius
sirius

Registriert seit: 3. Jan 2007
Ort: Dresden
3.443 Beiträge
 
Delphi 7 Enterprise
 
#2

Re: ReadProcessMemory - Zugriff bemerkbar?

  Alt 14. Jan 2008, 16:26
Ausser, wenn Programm B wiederum Programm A überwacht oder Programm B überwcht readprocessMemory, fällt mir spontan nix ein.
Dieser Beitrag ist für Jugendliche unter 18 Jahren nicht geeignet.
  Mit Zitat antworten Zitat
Win32.API

Registriert seit: 23. Mai 2005
312 Beiträge
 
#3

Re: ReadProcessMemory - Zugriff bemerkbar?

  Alt 14. Jan 2008, 17:07
Stichwort: Treiber (RPM Hook)
  Mit Zitat antworten Zitat
Benutzerbild von OldGrumpy
OldGrumpy

Registriert seit: 28. Sep 2006
Ort: Sandhausen
941 Beiträge
 
Delphi 2006 Professional
 
#4

Re: ReadProcessMemory - Zugriff bemerkbar?

  Alt 14. Jan 2008, 17:49
Entweder innerhalb von ReadProcessMemory ein Hook oder "weiter unten" im Kernel beim Mappen der Speicherpages ansetzen ("höhere Mathematik"), oder strategisch Guardpages setzen. Guardpages triggern bei einem Zugriff darauf eine Exception. Kann man von aussen aber auch ziemlich beliebig ändern, dazu empfiehlt sich dann ein Hook auf VirtualProtectEx und Konsorten.

Im Grunde genommen läuft das alles auf ein und dasselbe hinaus:

Zitat von Bruce Schneier:
[...]trying to make digital files uncopyable is like trying to make water not wet.
"Tja ja, das Ausrufezeichen... Der virtuelle Spoiler des 21. Jahrhunderts, der Breitreifen für die Datenautobahn, die k3wle Sonnenbrille fürs Usenet. " (Henning Richter)
  Mit Zitat antworten Zitat
Win32.API

Registriert seit: 23. Mai 2005
312 Beiträge
 
#5

Re: ReadProcessMemory - Zugriff bemerkbar?

  Alt 14. Jan 2008, 18:18
Imho werden "Guardpages" bei einem aufruf von RPM nicht ausgeloest.
  Mit Zitat antworten Zitat
Benutzerbild von OldGrumpy
OldGrumpy

Registriert seit: 28. Sep 2006
Ort: Sandhausen
941 Beiträge
 
Delphi 2006 Professional
 
#6

Re: ReadProcessMemory - Zugriff bemerkbar?

  Alt 14. Jan 2008, 18:25
Nunja, zumindest funktioniert wenn ich die MSDN da richtig verstehe, zumindest das Auslesen nicht - also müsste man erst mit VirtualProtectEx das Guard-Bit entfernen was wiederum mit einem Hook zu bemerken wäre. Aber das Thema ist echt endlos und beliebig komplex weiterspinnbar...
"Tja ja, das Ausrufezeichen... Der virtuelle Spoiler des 21. Jahrhunderts, der Breitreifen für die Datenautobahn, die k3wle Sonnenbrille fürs Usenet. " (Henning Richter)
  Mit Zitat antworten Zitat
elliott

Registriert seit: 3. Apr 2006
17 Beiträge
 
Delphi 2005 Personal
 
#7

Re: ReadProcessMemory - Zugriff bemerkbar?

  Alt 14. Jan 2008, 18:59
Danke! Danke!
Also kurz gesagt: Es ist nicht einfach...
Ich glaube es werden nur sehr, sehr wenige Programme so einen Aufwand betreiben nur um zu sehen ob jemand im Speicher herumliest.
...
  Mit Zitat antworten Zitat
Apollonius

Registriert seit: 16. Apr 2007
2.325 Beiträge
 
Turbo Delphi für Win32
 
#8

Re: ReadProcessMemory - Zugriff bemerkbar?

  Alt 14. Jan 2008, 19:05
Ich habe in der Codelibrary einen Beitrag gepostet, wie man erschweren kann, dass der "Gegner" überhaupt Readprocessmemory benutzen kann. Bei Admin-Rechten hilft das allerdings nicht, falls der Admin Debug-Rechte hat (ich habe die z.B. nicht).
Wer erweist der Welt einen Dienst und findet ein gutes Synonym für "Pointer"?
"An interface pointer is a pointer to a pointer. This pointer points to an array of pointers, each of which points to an interface function."
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 08:32 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz