Delphi-PRAXiS

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Win32/Win64 API (native code) (https://www.delphipraxis.net/17-win32-win64-api-native-code/)
-   -   Delphi String mit ReadMemoryProcess auslesen (https://www.delphipraxis.net/136769-string-mit-readmemoryprocess-auslesen.html)

RedShakal 7. Jul 2009 19:57
String mit ReadMemoryProcess auslesen
 
Hallo, ich habe diverse Funktionen um Integer Werte aus dem Speicher fremder Programme auszulesen oder Funktionen mit z.b. Nop zu überpatchen. Leider finde ich aber keinerlei möglichkeit einen Textwert aus einer Adresse auszulesen. In der Adresse stehen die Namen aller Clients drin, die ich gern extern auswerten Würde. Wie stellt man das am besten an?

Fridolin Walther 7. Jul 2009 21:00
Re: String mit ReadMemoryProcess auslesen
 
Die Frage ist, was für ein String ist das. Pascal String? 0-terminiert? Ein Char Array fixer Länge? Je nachdem gäbe es unterschiedliche Möglichkeiten. Wenn der String keine fixe Länge hat (= Char Array) ist das Hauptproblem die Länge des Strings zu ermitteln. Bei Pascal Strings ist das noch relativ simpel zu ermitteln, da der erste Wert die Länge angibt. Bei Null-Terminierung dagegen muss wahrscheinlich zeichenweise gelesen werden bis man am 0-Char ankommt.

Ansonsten ist das Vorgehen egal um was für einen String es sich handelt, mehr oder weniger gleich:
Den Prozess mit MSDN-Library durchsuchenOpenProcess öffnen und die Speicherbereiche mit MSDN-Library durchsuchenReadProcessMemory auslesen. Gegebenenfalls ist beim Fehlen von Rechten auch ein MSDN-Library durchsuchenVirtualProtectEx notwendig sowie das Erlangen von Debug Previlegien (MSDN-Library durchsuchenSeDebugPrivilege).

Aber ohne genauere Angaben keine genaueren Informationen ;).

RedShakal 7. Jul 2009 22:37
Re: String mit ReadMemoryProcess auslesen
 
Also die Namen sind Dynamisch. Allerdings gibt es auch den einen oder anderen festen Wert der immer aus exakt 4 Buchstaben besteht. Dieser würde mir zu anfang genügen.

Was genau das für ein String ist kann ich leider nicht sagen, ich weiß nur das die original exe von 1998 ist und mit MS Visual C++ geschrieben wurde.

Fridolin Walther 7. Jul 2009 23:25
Re: String mit ReadMemoryProcess auslesen
 
Bei C++ ist es am wahrscheinlichsten, daß die Strings nullterminiert sind. Schau halt mal mit nem Hex Editor in den Prozessspeicher wie die Strings aussehen. Dort solltest Du dann auch sehen ob es normale ANSI Strings sind oder Unicode Strings.

himitsu 7. Jul 2009 23:32
Re: String mit ReadMemoryProcess auslesen
 
Abgesehn vom ShortString und vielen CharArrays sind in Delphi auch alle Strings zusätzlich noch #0-terminiert, darum lassen sie sich so schön in PChar umwandeln,

also kann man meißt davon ausgehn, daß ein String vermutlich #0-terminiert sein wird,
allerdings kannst du da im Speicher nicht so einfach rumschreiben, denn du weißt bestimmt nicht, wie die Speicherverwaltung der dynamischen Strukturen aussieht.

RedShakal 8. Jul 2009 15:24
Re: String mit ReadMemoryProcess auslesen
 
Die Strings sind in Unicode.

Ich habe mit dem Memory Editor Cheat Engine schon ein bisschen rumgespielt. Man kann die Namen ohne Probleme ändern, verlängern oder kürzen. Ist anscheiend Terminiert

RedShakal 11. Jul 2009 09:25
Re: String mit ReadMemoryProcess auslesen
 
*push*

Fridolin Walther 11. Jul 2009 09:41
Re: String mit ReadMemoryProcess auslesen
 
Wie vorzugehen ist, ist oben beschrieben. Magst Du etwa vollständigen Source haben?

RedShakal 11. Jul 2009 11:08
Re: String mit ReadMemoryProcess auslesen
 
Wenn ich den String wie oben beschrieben auslese, kommen immer Integer werte dabei heraus.

Fridolin Walther 11. Jul 2009 11:33
Re: String mit ReadMemoryProcess auslesen
 
Ich weiß ja nicht was Du machst, aber wenn Du es so implementiert hättest, wie von mir geschrieben würd es funktionieren:
Delphi-Quellcode:
function ReadWideStringFromProcessMemory(PID : Cardinal; AddressOfString : Cardinal) : WideString;
var
  ProcessHandle : THandle;
  WideCharRead : WideChar;
  BytesRead : Cardinal;
begin
  Result := '';
  ProcessHandle := OpenProcess(PROCESS_VM_READ, FALSE, PID);
  if ProcessHandle <> INVALID_HANDLE_VALUE then
    begin
      repeat
        ReadProcessMemory(ProcessHandle, Pointer(AddressOfString), @WideCharRead, SizeOf(WideCharRead), BytesRead);
        Inc(AddressOfString, SizeOf(WideCharRead));
        Result := Result + WideCharRead;
      until (Word(WideCharRead) = 0) or (BytesRead <> SizeOf(WideCharRead));
      CloseHandle(ProcessHandle);
    end;
end;
Prozess öffnen, ersten (Wide)Char lesen, an String anhängen, nächsten Char lesen, anhängen usw.. Als Abbruchbedingung dient entweder das terminierende Null-Char oder aber alternativ ein Lesefehler.

RedShakal 11. Jul 2009 19:53
Re: String mit ReadMemoryProcess auslesen
 
funktioniert prima dankeschön :-D

Aber vielleicht kannst du mir noch bei einer kleinen Sache helfen. Wenn kein Name vorhanden ist wird ja '' zurück gegeben. Jetzt möchte ich mit einer For Schleife erreichen das statt einem leeren Label dort das Wort 'Offline' erscheint.

Ich habe es so probiert:


Delphi-Quellcode:
for i := 1 to 32 do
  begin
    if Label[i].Caption = '' then
      begin
        Label[i].Caption := 'Offline';
      end;
  inc(i);
  end;

Fridolin Walther 11. Jul 2009 19:57
Re: String mit ReadMemoryProcess auslesen
 
Simpler wäre es wahrscheinlich die ReadWideStringFromProcessMemory Funktion anzupassen, so daß "Offline" zurückgegeben wird statt einem leeren String.

Delphi-Quellcode:
function ReadWideStringFromProcessMemory(PID : Cardinal; AddressOfString : Cardinal) : WideString;
var
  ProcessHandle : THandle;
  WideCharRead : WideChar;
  BytesRead : Cardinal;
begin
  Result := '';
  ProcessHandle := OpenProcess(PROCESS_VM_READ, FALSE, PID);
  if ProcessHandle <> INVALID_HANDLE_VALUE then
    begin
      repeat
        ReadProcessMemory(ProcessHandle, Pointer(AddressOfString), @WideCharRead, SizeOf(WideCharRead), BytesRead);
        Inc(AddressOfString, SizeOf(WideCharRead));
        Result := Result + WideCharRead;
      until (Word(WideCharRead) = 0) or (BytesRead <> SizeOf(WideCharRead));
      CloseHandle(ProcessHandle);
    end;
  if Result = '' then Result := 'Offline';
end;

RedShakal 11. Jul 2009 20:05
Re: String mit ReadMemoryProcess auslesen
 
Das wäre in dem Sinne zwar leichter, aber früher oder Später werde ich wieder vor diesem Problem stehen. Daher würde ich gerne wissen wie man soetwas in einer For Schleife realisieren kann.

Fridolin Walther 11. Jul 2009 20:11
Re: String mit ReadMemoryProcess auslesen
 
Dann übergeb den Default String der ausgegeben werden soll doch einfach als optionalen Parameter. Alles andere wäre aufwändiger, fehleranfälliger und meiner Meinung nach kein sonderlich tolles Code Design. Über den optionalen dritten Parameter kannst Du beim Aufruf also einfach 'Offline' mit übergeben und statt nem leeren String wird 'Offline' zurückgegeben.

Delphi-Quellcode:
function ReadWideStringFromProcessMemory(PID : Cardinal; AddressOfString : Cardinal; DefaultString : WideString = '') : WideString;
var
  ProcessHandle : THandle;
  WideCharRead : WideChar;
  BytesRead : Cardinal;
begin
  Result := '';
  ProcessHandle := OpenProcess(PROCESS_VM_READ, FALSE, PID);
  if ProcessHandle <> INVALID_HANDLE_VALUE then
    begin
      repeat
        ReadProcessMemory(ProcessHandle, Pointer(AddressOfString), @WideCharRead, SizeOf(WideCharRead), BytesRead);
        Inc(AddressOfString, SizeOf(WideCharRead));
        Result := Result + WideCharRead;
      until (Word(WideCharRead) = 0) or (BytesRead <> SizeOf(WideCharRead));
      CloseHandle(ProcessHandle);
    end;
  if Result = '' then Result := DefaultString;
end;

RedShakal 11. Jul 2009 20:43
Re: String mit ReadMemoryProcess auslesen
 
Werde ich mal probieren! Danke


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:52 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz