Discussion :

[devilsnake88]

Bonjour tout le monde!

Je viens vers vous car j'ai besoin d'aide pour finaliser mon ambitieux petit projet.
J'ai besoin de scanner la mémoire d'un processus ouvert (un .exe ouvert pour simplifier [Windows uniquement]) à la recherche de l'adresse mémoire correspondante à une matrice d'octets (AOB/Array Of Bytes).

Concrètement c'est comme ce que fait des logiciels style Cheat Engine qui me permet de scanner la mémoire de
Programme.exe afin d'y rechercher "41 0F B7 84 4B 0A 01 00 00" pour qu'il me trouve "Programme.exe+296E2EF"

Cela fait quelques jours que je cherche sans succès, j'espère trouver la réponse qui me manque ici
Merci pour votre temps!

[wiztricks]

Salut,

Cela fait quelques jours que je cherche sans succès, j'espère trouver la réponse qui me manque ici

Vous avez déjà des outils windows pour faire çà.
Si vous voulez coder çà par vous même, aller regarder la mémoire d'un process est une opération privilégiée sous le contrôle du système.
Sur Windows vous avez ReadProcessMemory et savoir l'utiliser est plutôt un sujet sur les internes de Windows que de programmation Python.

- W

[devilsnake88]

...

Oui je sais, je me sers déjà de ReadProcessMemory via github*com/vsantiago113/ReadWriteMemory.
Je lis et écris déjà dans le processus, le problème c'est que je dois lire et écrire au bon endroit et à chaque redémarrages, les adresses changeant.
J'ai déjà dû patcher la source github pour accepter les adresses en x64 mais rien à propos de sign/aob scan.

[jurassic pork]

hello,
as-tu essayé le module mem_edit ?
ami calmant, J.P

[devilsnake88]

...

Merci pour ton message mais si c'est possible avec mem_edit, je suis perdu car tout ce que j'ai essayé (je ne suis pas super doué en dev') n’aboutis à rien...
Sporctivement.

[jurassic pork]

hello,
les exemples du readme de mem_edit ne sont pas faciles à essayer. J'ai testé la bibliothèque avec comme processus le bloc-note (notepad.exe). Le code d'essai consiste à chercher la séquence d'octets coucou (que l'on rentre en édition au préalable dans notepad) dans la mémoire du processus et à la remplacer par poupou. Apparemment dans notepad lorsque l'on rentre des caractères, ils se retrouvent à plusieurs endroits dans la mémoire, mais la première adresse semble être celle qui sert pour l'affichage.
Voici le code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
import ctypes
from mem_edit import Process
coucou = (ctypes.c_byte * 12)(0x63, 0x00, 0x6f, 0x00, 0x75, 0x00, 0x63, 0x00, 0x6f, 0x00, 0x75, 0x00)
poupou = (ctypes.c_byte * 12)(0x70, 0x00, 0x6f, 0x00, 0x75, 0x00, 0x70, 0x00, 0x6f, 0x00, 0x75, 0x00)
pid = Process.get_pid_by_name('notepad.exe')
with Process.open_process(pid) as p:
    addrs = p.search_all_memory(coucou)
    # on teste si il y  a une ou plusieurs réponses
    if len(addrs) >= 1:
        print('adresses trouvées:')
        for addr in addrs:
            # on affiche l'adresse en hexa
            print("adresse : " +  str(hex(addr)))
            # on affiche 32 octets (en décimal) à partir de la première adresse trouvée
            dump = p.read_memory(addr, (ctypes.c_byte * 32)())
            print(*dump)
        # on écrit poupou à la place de coucou à la première adresse
        p.write_memory(addrs[0], poupou)
    elif len(addrs) == 0:
        print("séquence d'octets non trouvée!")

[python36]>>> INFO:mem_edit.windows:Checking name for pid 0
INFO:mem_edit.windows:Checking name for pid 10572
INFO:mem_edit.windows:Name was "notepad.exe"
adresses trouvées:
adresse : 0x14e272f1320
99 0 111 0 117 0 99 0 111 0 117 0 32 0 33 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
adresse : 0x14e27331810
99 0 111 0 117 0 99 0 111 0 117 0 32 0 0 0 0 0 0 0 0 0 0 0 30 43 -13 -104 0 47 0 -128

En espérant que cela puisse t'aider.
Ami calmant, J.P