Discussion :

[[ZiP]]

Bonjour,

Je suis actuellement en train de développer un plugin pour OllyDbg et je rencontre un problème avec le code suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
lpflOldProtect : Pointer;
hMem : Boolean;
sCode : PChar;
bRead : ULONG;
 
lpflOldProtect := nil;
VirtualProtectEx(gDebugHandleProcess, Pointer(gDebugCodeStart), gDebugCodeSize, PAGE_EXECUTE_READWRITE, lpflOldProtect);
hMem := ReadProcessMemory(gDebugHandleProcess, Pointer(gDebugCodeStart), @sCode, gDebugCodeSize, bRead);
VirtualProtectEx(gDebugHandleProcess, Pointer(gDebugCodeStart), gDebugCodeSize, Cardinal(lpflOldProtect), lpflOldProtect);

Le code est compilé, mais ma variable sCode reste désespérément vide...

Peut-être que j'utilise mal les API ?

Merci,
ZiP

[Cl@udius]

Salut Zip

Toujours le même piège: PChar ou PAnsiChar ?

@+

[[ZiP]]

Bonjour Cl@udius,

Je ne pense pas car cette fois-ci, je n'ai pas des "??[...]" d'affichés mais rien du tout :

sCode =

Je viens tout de même d'effectuer les corrections suivantes :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
sCode : PAnsiChar;

Le résultat reste identique

Merci pour votre aide,
ZiP

[gb_68]

Bonjour,

Peut-être que j'utilise mal les API ?

il semblerait que oui

lpflOldProtect [out]

A pointer to a variable that receives the previous access protection of the first page in the specified region of pages. If this parameter is NULL or does not point to a valid variable, the function fails.

http://msdn.microsoft.com/en-us/libr...8VS.85%29.aspx

Il te faut une variable OldProtect de type DWORD que tu passes par pointeur (@OldProtect, ce qui revient à faire, manuellement, un passage par référence). Pense aussi à vérifier la valeur de retour de la fonction VirtualProtectEx ; cela t'indiquera si ton appel a réussi ou pas.

[[ZiP]]

Bonjour gb_68,

J'ai modifié mon code comme vous me l'avez expliqué :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
lpflOldProtect : DWORD;
hMem : Boolean;
sCode : PAnsiChar;
bRead : ULONG;
 
hMem := VirtualProtectEx(gDebugHandleProcess, Pointer(gDebugCodeStart), gDebugCodeSize, PAGE_EXECUTE_READWRITE, @lpflOldProtect);
if hMem then Log('VirtualProtectEx => OK !');
hMem := ReadProcessMemory(gDebugHandleProcess, Pointer(gDebugCodeStart), Pointer(sCode), gDebugCodeSize, bRead);
if hMem then Log('ReadProcessMemory => OK !');
hMem := VirtualProtectEx(gDebugHandleProcess, Pointer(gDebugCodeStart), gDebugCodeSize, lpflOldProtect, @lpflOldProtect);
if hMem then Log('VirtualProtectEx => OK !');

Les deux appels à VirtualProtectEx fonctionnent, par contre, ReadProcessMemory ne fonctionne pas !

Merci pour votre aide,
ZiP

[ShaiLeTroll]

Il y a un truc qui manque ! non ?
Comme définir la zone mémoire de réception ! Ou tu l'as fait ailleurs ?!

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
GetMem(sCode, gDebugCodeSize);
hMem := ReadProcessMemory(gDebugHandleProcess, Pointer(gDebugCodeStart), Pointer(sCode), gDebugCodeSize, bRead);
if hMem then Log('ReadProcessMemory => OK !');
FreeMem(sCode);

En cas d'erreur, utilise GetLastError, cela te fourni un code d'erreur supplémentaire !
Puis SysErrorMessage (encapsulation de FormatMessage), te fourniras un message d'erreur normalement compréhensible !

[[ZiP]]

Bonjour ShaiLeTroll,

Effectivement, je n'ai pas définit la zone mémoire de réception !

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
 
lpflOldProtect : DWORD;
hMem : Boolean;
sCode : PAnsiChar;
bRead : Cardinal;
 
hMem := VirtualProtectEx(gDebugHandleProcess, Pointer(gDebugCodeStart), gDebugCodeSize, PAGE_EXECUTE_READWRITE, @lpflOldProtect);
if hMem then Log('VirtualProtectEx => OK !');
GetMem(sCode, gDebugCodeSize);
hMem := ReadProcessMemory(gDebugHandleProcess, Pointer(gDebugCodeStart), Pointer(sCode), gDebugCodeSize, bRead);
if hMem then Log('ReadProcessMemory => OK !');
hMem := VirtualProtectEx(gDebugHandleProcess, Pointer(gDebugCodeStart), gDebugCodeSize, lpflOldProtect, @lpflOldProtect);
if hMem then Log('VirtualProtectEx => OK !');

Avec ce code, je récupère des données, il faut que je vérifie si celles-ci sont correctes !

Merci,
ZiP

[[ZiP]]

Bonjour,

J'ai modifié mon code comme ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
 
     hMem := VirtualProtectEx(gDebugHandleProcess, Pointer(gDebugCodeStart), gDebugCodeSize, PAGE_EXECUTE_READWRITE, @lpflOldProtect);
     if hMem then Log('VirtualProtectEx => OK !');
     GetMem(sCode, gDebugCodeSize);
     hMem := ReadProcessMemory(gDebugHandleProcess, Pointer(gDebugCodeStart), Pointer(sCode), gDebugCodeSize, bRead);
     if hMem then Log('ReadProcessMemory => OK !');
     hMem := VirtualProtectEx(gDebugHandleProcess, Pointer(gDebugCodeStart), gDebugCodeSize, lpflOldProtect, @lpflOldProtect);
     if hMem then Log('VirtualProtectEx => OK !');
 
     if Debug then
     begin
          Log('Length(sCode) = ' + IntToStr(Length(sCode)));
          for i:=0 to Length(sCode) do
          begin
               Log('sCode = 0x' + IntToHex(Ord(sCode[i]), 2));
          end;
     end;

Il m'affiche ça :

DEBUG --> gDebugCodeStart = 00401000
DEBUG --> gDebugCodeSize = 0004F800
DEBUG --> VirtualProtectEx => OK !
DEBUG --> ReadProcessMemory => OK !
DEBUG --> VirtualProtectEx => OK !
DEBUG --> Length(sCode) = 3
DEBUG --> sCode = 0x04
DEBUG --> sCode = 0x10
DEBUG --> sCode = 0x40
DEBUG --> sCode = 0x00

Savez-vous pourquoi il ne récupère que 3 caractères ?

Merci,
ZiP

[ShaiLeTroll]

Pour length de scode ? tu risque encore d'avoir un conflit Ansi\Wide ^
Length converti ton PAnsiChar en String (ne me demande pas laquelle), je ne sais exactement ce qui se passe, mais ça doit surement appelé implicitement _LStrFromPChar, ce qui alloue une chaine, dès qu'il y a un caractère zéro, c'est considiré comme une fin de chaine !

utilise directement gDebugCodeSize qui contient 318Ko !
Tu devrais même utiliser un TByteDynArray au lieu de PAnsiChar ou un PByte !
Faut arrêter de manipuler des Byte via des Char, c'était une pratique courante avant qui n'est vraiment plus propre aujourd'hui !

[[ZiP]]

Bonjour ShaiLeTroll,

Je viens de vérifier le contenu de ma fenêtre de Log avec le code désassemblé et effectivement, il s'arrête au premier '00' !

J'ai modifié mon code comme ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
 
sCode : PByte;
 
hMem := VirtualProtectEx(gDebugHandleProcess, Pointer(gDebugCodeStart), gDebugCodeSize, PAGE_EXECUTE_READWRITE, @lpflOldProtect);
if Debug then
begin
     if hMem then Log('VirtualProtectEx => OK !');
end;
GetMem(sCode, gDebugCodeSize);
//if Debug then Log('Length(sCode) = ' + IntToStr(SizeOf(sCode)));
hMem := ReadProcessMemory(gDebugHandleProcess, Pointer(gDebugCodeStart), Pointer(sCode), gDebugCodeSize, bRead);
if Debug then
begin
     if hMem then Log('ReadProcessMemory => OK !');
end;
hMem := VirtualProtectEx(gDebugHandleProcess, Pointer(gDebugCodeStart), gDebugCodeSize, lpflOldProtect, @lpflOldProtect);
if Debug then
begin
     if hMem then Log('VirtualProtectEx => OK !');
     //Log('Length(sCode) = ' + IntToStr(SizeOf(sCode)));
     for i:=0 to gDebugCodeSize do
     begin
          Log('sCode = 0x' + IntToHex(Ord(sCode[i]), 2));
     end;
end;

Par contre, sais-tu comment récupérer la taille d'un PByte ?

Ce code fonctionne à merveille, merci beaucoup pour votre aide !

Merci,
ZiP

[ShaiLeTroll]

Récupérer la taille d'un PByte, euh 4 Octets pour un adressage 32 bits
Non ! C'est pour cela que l'on fourni généralement la taille des Buffers aux API !

petite correction " - 1 ", sinon tu risque de dépasser, parfois tu pourras lire parfois non !

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

for i:=0 to gDebugCodeSize - 1 do

[[ZiP]]

D'accord, c'est corrigé !

Merci,
ZiP