Delphi-PRAXiS

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Win32/Win64 API (native code) (https://www.delphipraxis.net/17-win32-win64-api-native-code/)
-   -   Delphi ReadProcessMemory - Zugriff bemerkbar? (https://www.delphipraxis.net/106650-readprocessmemory-zugriff-bemerkbar.html)

elliott 14. Jan 2008 16:23
ReadProcessMemory - Zugriff bemerkbar?
 
Hallo!

Ich wollte gern mal von den Experten wissen ob denn ein Zugriff über ReadProcessMemory bemerkbar ist?

Um es zu verdeutlichen:
Programm A - eine beliebige Software in C, Delphi oder irgendeiner anderen Sprache programmiert
Programm B - ein Delphi-Programm, welches mit ReadProcessMemory den Speicher von anderen Programmen auslesen kann.
Beide Programme laufen unter Windows XP mit Admin-Rechten.

Wenn Programm B den Speicher von Programm A ausliest - kann Programm A dies bemerken?

Knappe Antworten reichen vollkommen aus. Wenn es möglich sein sollte, dann bitte kurz erklären wie!

Danke!

sirius 14. Jan 2008 16:26
Re: ReadProcessMemory - Zugriff bemerkbar?
 
Ausser, wenn Programm B wiederum Programm A überwacht oder Programm B überwcht readprocessMemory, fällt mir spontan nix ein.

Win32.API 14. Jan 2008 17:07
Re: ReadProcessMemory - Zugriff bemerkbar?
 
Stichwort: Treiber (RPM Hook)

OldGrumpy 14. Jan 2008 17:49
Re: ReadProcessMemory - Zugriff bemerkbar?
 
Entweder innerhalb von ReadProcessMemory ein Hook oder "weiter unten" im Kernel beim Mappen der Speicherpages ansetzen ("höhere Mathematik"), oder strategisch Guardpages setzen. Guardpages triggern bei einem Zugriff darauf eine Exception. Kann man von aussen aber auch ziemlich beliebig ändern, dazu empfiehlt sich dann ein Hook auf VirtualProtectEx und Konsorten.

Im Grunde genommen läuft das alles auf ein und dasselbe hinaus:

Zitat:
Zitat von Bruce Schneier
[...]trying to make digital files uncopyable is like trying to make water not wet.

Win32.API 14. Jan 2008 18:18
Re: ReadProcessMemory - Zugriff bemerkbar?
 
Imho werden "Guardpages" bei einem aufruf von RPM nicht ausgeloest.

OldGrumpy 14. Jan 2008 18:25
Re: ReadProcessMemory - Zugriff bemerkbar?
 
Nunja, zumindest funktioniert wenn ich die MSDN da richtig verstehe, zumindest das Auslesen nicht - also müsste man erst mit VirtualProtectEx das Guard-Bit entfernen was wiederum mit einem Hook zu bemerken wäre. Aber das Thema ist echt endlos und beliebig komplex weiterspinnbar...

elliott 14. Jan 2008 18:59
Re: ReadProcessMemory - Zugriff bemerkbar?
 
Danke! Danke!
Also kurz gesagt: Es ist nicht einfach... :stupid:
Ich glaube es werden nur sehr, sehr wenige Programme so einen Aufwand betreiben nur um zu sehen ob jemand im Speicher herumliest.
...

Apollonius 14. Jan 2008 19:05
Re: ReadProcessMemory - Zugriff bemerkbar?
 
Ich habe in der Codelibrary einen Beitrag gepostet, wie man erschweren kann, dass der "Gegner" überhaupt Readprocessmemory benutzen kann. Bei Admin-Rechten hilft das allerdings nicht, falls der Admin Debug-Rechte hat (ich habe die z.B. nicht).


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:09 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz