Hi Leute,

ich möchte gerne die Speicher-Adresse einer Funktion im einem Prozess finden. Die Funktion ist dabei jedoch nicht eine Funktion aus einer importierten DLL, sondern eine Prozesseigene Funktion.

Hier ein Beispiel an einer Probeprocedure.

Part I
z.B. wird dies in einem Programme verwendet.

Part II
Mein Ziel ist es die Speicheradresse X herauszufinden
Folgende Schwierigkeit stellt sich jedoch bei diesem Unterfangen.

1. Ich habe nicht den Quellcode der EXE in der die Procedure Box deklariert ist.
2. Die EXE selbst ist mit einer Art EXE-Packer überzogen, sodass das man durch
disassamblern auch nicht viel weiter kommt.

Ich injektiere dem Zielprozess eine eigene DLL. In dieser DLL steht ein Code ähnlich dem aus Part II. Ich befinde mich also mit der DLL im Prozessspeicherraum der Anwendung.

Mein Ziel ist es nun, diese eine spezielle Funktion selbst aufzurufen, dafür ist es dringend nötig ihre Position heraus zu finden.

Da ich keine Anhaltspunkt habe wo ich suchen muss, ist das ganze etwas schwierig.

Fragen:

1. Fallen euch irgendwelche Techniken ein?
2. Gibt es eine Debug-Tool welches mir dabei helfen könnte?
3. Wenn es mir gelingen würde den EXE-Packer zu entfernen und die Original EXE zu extrahieren, gäbe es dann eine Art Zentralverzeichnis(Table, etc. ) in der EXE dem alle Funktionen nummeriert mit ihren Adressen stehen?
4. Wenn ja wie finde ich diesen
5. Ich kann den Prozess dazubringen die gesuchte Funktion auszuführen, gibt es ein Tool das die gerade ausgeführten Codeabschnitte lokalisieren kann?

Um vielleicht noch etwas Klarheit in die Sache zu bringen, es handlet sich dabei um eine Art Console. In diese werden Kommandos eingegeben und der Prozess reagiert auf diese. Ich möchte in diese Console gerne Informationen(eigene Ausgabezeilen) hinzufügen, die nichts mit dem eigentlich Prozess zutun haben. Ein Externes Programm lagert Informationen in einer Textdatei aus. Die DLL soll die Funktion "WriteToConsole" aufrufen können und in bestimmten Zeitabständen die Informationen aus der Datei in die besagte Console schreiben.

Dazu ist es halt notwendig die interne SpeicherAdresse dieser Funktion zu wissen.

PS: Bitte schreibt mir, wenn ich an eingigen Stellen mein Problem unverstänbdlch beschrieben habe. Beschreiben war noch nie eine meiner großen Stärken

Bin für jede Hilfe Dankbar

Mit freundlichen Grüßen
Tobi

Womit ist es gepackt?
Ist es in Delphi geschrieben?

Hi,

Soweit ich das aus Analysern herauslesen kann, wurde die Anwendung mit

Microsoft Visual C++ ("7.0 Debug", steht als Zusatz in manchen Tools)

geschrieben und kompimiert mit

(laut PEiD v0.93)
PECompact 2.x -> Jeremy Collake

Gruß Tobi

Hallo Tobi,

es ist gewiss nicht mein Spezialgebiet, aber wäre es nicht leichter die i/o handles zu ermitteln, über die der fremde Prozess seine Konsole bedient?

Grüße vom marabu

Versuchs zu enpacken:
http://programmerstools.org/taxonomy/term/16

Und dann musst du halt schauen, welche Apis sehr wahrscheinlich benutzt werden um halt das scheiben in die COnsole darzustellen. Auf die NEN BP setzen und dann bisl tracen.

Leider bekomme ich die Datei nicht entpackt

Gibt es eine stelle im Prozesspeicher bei
der alle functions aufgelistet sind?

Was meinst du mit "NEN BP"?

Gruß Tobi

Nein es gibt keine Stelle wo alle Funktionen gelistet werden. Solltest du es entpackt bekommen, dann erstellt die IDA so eine Liste.
Sollte "nen BP" heissen - soviel wie 'einen Breakpoint'.

Hi,

ok ich bins nochmals

ich habe die Datei nun entpackt bekommen !!!

Kannst du mir noch etwas Hilfestellung geben?
Oder den groben Ablauf skizzieren?

Ich habe noch nie mit IDA gearbeitet. Nach dem einladen
gib es mehrere Analyse Felder unteranderem auch eine
Liste mit Sub_nummer (3xxxxx - 8xxxxxx), also eine ganze
Menge von Funktionen.

Ich denke hier bin ich so halb richtig.

Ich wäre dir sehr dankbar wenn du mir noch etwas helfen könntest.

Mit freundlichen Grüßen
Tobi