Discussion :

[Captain'Flam]

Bonjour,

je suis en train de faire joujou avec la bibliothèque Kernel32 (dont je découvre toute l'étendue) et je tombe sur un mystère mystérieux (qui ne fait peut être que révéler mon insondable ignorance en programmation système) :

Je fais un OpenProcess avec (entre autres) le droit PROCESS_VM_WRITE, puis je modifie la mémoire du processus en question avec WriteProcessMemory.

Et là, bizarrement, selon le processus, ça marche ou pas.
Attention, je ne suis pas fou : je ne fais ça qu'avec des processus non-système.
Au début avec des applis à moi (bien gentilles, écrites par moi, en C++),
puis avec des applis un peu plus corsées, telles que Chrome.
Enfin, j'ai essayé avec avec une VM (un émulateur de tablette sous android) et c'est la que ça s'est mis à aller de travers...

D'où ma question :

Comment un processus non-système,
lancé par moi,
peut-il se laisser ouvrir avec droits en lecture/écriture (PROCESS_VM_READ|PROCESS_VM_WRITE),
me laisser lire sa mémoire (par ReadProcessMemory),
mais m'interdire d'y écrire (par WriteProcessMemory) en me renvoyant une erreur 487 (Tentative d'accès à une adresse non valide) ?

Petites précisions :
- le processus dont je veux modifier la mémoire n'a pas été lancé en tant qu'administrateur,
- mon appli de modification de la mémoire, elle, a est lancée en tant qu'administrateur
- la même appli fonctionne sur d'autres processus...

Merci d'avance !

[Médinoc]

À quelle adresse tentes-tu d'écrire dans le processus en question?
Si tu tentes d'écrire sur une page non-mappée, ou une page mappée seulement en lecture, ça ne marchera pas (l'équivalent d'une Access Violation).

[Captain'Flam]

Non non, je ne tape pas au hasard : je lance une appli calculatrice sur ma tablette virtuelle et je retrouve l'adresse de la variable qui contient le résultat.
C'est facile à vérifier : quand je fais des calculs, je vois bien la variable qui évolue.
Du coup, j'essaye de modifier sa valeur, mais là : erreur 487 !

[Prof]

Bonjour.

Peut-être un problème de privilège ?
Voir : http://ram-0000.developpez.com/tutor...ws-Privileges/

Le privilège à activer ici pourrait être SE_DEBUG_NAME ( "SeDebugPrivilege" ).

[Médinoc]

SE_DEBUG_NAME ne sert qu'à ouvrir un processus sur lequel on n'est pas censé avoir les droits. Si le OpenProcess() marche, c'est qu'on n'a pas besoin du privilège.

Captain'Flam, je sais que ça ne devrait pas être un problème vu que c'est supposément fait "dans le bon sens", mais as-tu essayé en lançant les deux processus avec le même niveau d'intégrité?

PS: Pourrais-je voir la fonction qui appelle WriteProcessMemory()?

[Captain'Flam]

Merci Médinoc,

petite question à propos de ta réponse :
que signifie "lancer deux processus avec le même niveau d'intégrité" ?
Qu'est ce que le "niveau d'intégrité" ?

Quand à la fonction qui appelle WriteProcessMemory elle est écrite en python...
En fait tout mon histoire de "faire joujou avec Kernel32" est partie de la découverte de ctypes dans la doc python.
J'ai glané toutes sortes d'infos sur la manière de l'utiliser et je me suis fait une petite lib perso pour faire joujou avec les processus et leur mémoire.

On pourrait penser que c'est un problème avec la lib python, mais le même code fonctionne parfaitement avec d'autres appli.
Par exemple :
je charge la page d'accueil de Wikipédia dans Firefox et dans le navigateur de ma tablette virtuelle (émulateur "Genymotion")
je lance ma fonction sur les 2 processus en question en lui faisant chercher une chaîne de caractères présente sur la page
j'en modifie un caractère :
--> sur Firefox, je vois ma modification en direct sur la page (copie d'écran ici : NB le "@nternet" )
--> sur ma tablette, j'ai une erreur 487 !

Voici le code de ma fonction qui fait la modif mémoire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
from process_memory_access import *

def test ( name ):
    s = u'Internet, universelle, multilingue et fonctionnant sur le principe'.encode('UTF-16LE')
    p = FindProcess( lambda p : p.filename().lower().endswith( name ))
    print 'Avec',name
    for address,data in p.walk( 32*1024 ):
        i = data.find( s )
        if i >= 0 :
            print '%08X'%(address+i),': "'+p.read( address+i,len( s )).decode('UTF-16LE')+'"'
            if p.write( address+i,'@') :
                print '------>    "'+p.read( address+i,len( s )).decode('UTF-16LE')+'"'
            else:
                print 'ERROR',GetLastError()


test('vboxheadless.exe')
test('firefox.exe')

et sa sortie

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
Avec vboxheadless.exe
0D7BFD26 : "Internet, universelle, multilingue et fonctionnant sur le principe"
ERROR 487:Tentative d'accès à une adresse non valide.
Avec firefox.exe
1917CE6A : "Internet, universelle, multilingue et fonctionnant sur le principe"
------>    "@nternet, universelle, multilingue et fonctionnant sur le principe"

le code de ma petite lib "process_memory_access" est un peu long pour être copié ici, du coup, voici un lien.

Merci de ton temps !

[Médinoc]

Juste pour être sûr, tu devrais essayer un coup de VirtualQueryEx() sur l'adresse en question.

[Captain'Flam]

Bien joué !

J'ai ajouté le VirtualQueryEx à ma lib, je l'ai appelée, et voici le résultat :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
'Protect': 'PAGE_READWRITE', 
'AllocationProtect': 'PAGE_READWRITE', 
'State': 'MEM_COMMIT', 
'RegionSize': 425984L, 
'BaseAddress': 721387520, 
'Type': 'MEM_PRIVATE', 
'AllocationBase': 719716352

On voit que Type == MEM_PRIVATE, ce qui ne me dit rien qui vaille...
Tous les autres processus ont MEM_MAPPED à la place !
C'est grave docteur ?

[Médinoc]

Normalement, ce n'est pas le genre de choses qui devrait géner Read/WriteProcessMemory() ou lui faire retourner ERROR_INVALID_ADDRESS...

PS: Ces nombres, il vaut mieux les afficher en hexadécimal:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
'Protect': 'PAGE_READWRITE', 
'AllocationProtect': 'PAGE_READWRITE', 
'State': 'MEM_COMMIT', 
'RegionSize': 0x00068000, 
'BaseAddress': 0x2AFF8000, 
'Type': 'MEM_PRIVATE', 
'AllocationBase': 0x2AE60000

[Médinoc]

Je vois une différence cruciale entre les appels à create_string_buffer() dans Read() et Write(). La fonction create_string_buffer() est-elle surchargée, ou l'équivalent (RTTI) pour agir différemment face à un entier et une chaîne?


...Et après on s'étonne que je n'aime pas les langages à typage faible ou dynamique...

[Captain'Flam]

Merci Medinoc, mais comment expliquer alors que le même code fonctionne sur toutes les autres applis que j'aie pu essayer ? à commencer par Firefox...

[devbreizhbugs]

Bonjour,
Vous avez sans doute compiler votre appli en 32 bits, les exécutables que vous ciblez sont ils bien aussi en 32bits?

[Captain'Flam]

Merci devbreizhbugs, mais je n'ai pas l'impression que ça ait une grande influence sur mon problème...