Discussion :

[KevinDA]

Bonjour, j'aimerai afficher toutes les adresses mémoire de lecture similaire a cheat engine dans mon debugger. ainsi que le code assembleur à coté de celle-ci exemple 3F 00 2F 20

Je dois mettre quoi dans mon printf ou si y a d'autre truc à changer ?????

j'ai mis un exemple en pièce jointe

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
 
#include <Windows.h>
#include <string>
#include <iostream>
#include <vector>
int main(){
STARTUPINFO         si = {0};
PROCESS_INFORMATION pi = {0};
si.cb = sizeof(si);
char filename[]= "Notepad.exe";
auto result = CreateProcess(filename, NULL, NULL, NULL, FALSE, DEBUG_PROCESS, NULL, NULL, &si, &pi);
DEBUG_EVENT debugEvent = { 0 };
bool continueDebugging = true;
while (continueDebugging) {
if(WaitForDebugEvent(&debugEvent, INFINITE)){
printf("DBG: Exception: %x, Addr: %p, FirstChance: %d\n", debugEvent.u.Exception.ExceptionRecord.ExceptionCode,
debugEvent.u.Exception.ExceptionRecord.ExceptionAddress, debugEvent.u.Exception.dwFirstChance);
 
 
std::cout << "Event " << debugEvent.u.CreateThread.lpThreadLocalBase << std::endl;
std::cout << std::hex << "New Thread - " << debugEvent.dwThreadId;
 
std::cout << std::hex << "Assembler read address - " << ?????? ;
 
 
 
auto continueStatus = DBG_CONTINUE;
ContinueDebugEvent(debugEvent.dwProcessId, debugEvent.dwThreadId, continueStatus);
    }
}
std::cout << "Done." << std::endl;
std::string s;
std::getline(std::cin, s);
return 0;
}

[Médinoc]

Je ne comprends pas la question.
Ne faudrait-il pas d'abord tester la nature du Debug Event, pluôt que supposer à chaque fois que c'est une exception?

[KevinDA]

Oui justement, j'aimerai afficher autre chose que les exceptions. Mais je trouve aucune source sur internet.

[ternel]

Plutot que chercher un code sur Internet, es-tu allé voir la documentation de DebugEvent? Elle décrit surement la structure, les champs, leurs valeurs.

[KevinDA]

ternel j'ai cherché depuis pas mal de temps et y a vraiment rien du tous.

[Bousk]

Comment as-tu réussi cet exploit quand le premier résultat google pour DEBUG_EVENT est la page msdn qui détaille tous les champs. ?
Et notamment 10s de lecture montre que le u est une union et donc ton utilisation de Exception est une supposition fausse.

[KevinDA]

Bousk j'ai tous essayé et rien n'affiche toutes les lectures des adresses. y a des affichage mais ils en manques...
Honnêtement je sais pas comment ils ont fait avec Cheat Engine.

[KevinDA]

Marche toujours pas

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
 
#include <Windows.h>
#include <iostream>
 
 
using namespace std;
int main(){
 
DWORD_PTR address = 0x7FF607979711;
STARTUPINFO         si = {0};
PROCESS_INFORMATION pi = {0};
si.cb = sizeof(si);
char filename[]= "Notepad.exe";
auto result = CreateProcess(filename, NULL, NULL, NULL, FALSE, DEBUG_PROCESS, NULL, NULL, &si, &pi);
DEBUG_EVENT debugEvent = { 0 };
bool continueDebugging = true;
 
 
CONTEXT ctx = {0};
ctx.ContextFlags = CONTEXT_DEBUG_REGISTERS | CONTEXT_INTEGER;
 
 
 
HWND hwnd = NULL;
DWORD processid;
HANDLE hThread = NULL;
 
hwnd = FindWindowA(NULL, "Notepad");
GetWindowThreadProcessId(hwnd, &processid);
hThread = OpenProcess(PROCESS_ALL_ACCESS, FALSE, processid);
 
 
// hThread with enough permissions
SetThreadContext(hThread, &ctx); 
 
 
 
while (true)
{
    if (WaitForDebugEvent(&debugEvent, INFINITE) == 0)
 
    if (debugEvent.dwDebugEventCode == EXCEPTION_DEBUG_EVENT &&
        debugEvent.u.Exception.ExceptionRecord.ExceptionCode == EXCEPTION_SINGLE_STEP) // EXCEPTION_BREAKPOINT
    {
        CONTEXT newCtx = {0};
        newCtx.ContextFlags = CONTEXT_ALL;
        GetThreadContext(hThread, &newCtx);
 
        if (debugEvent.u.Exception.ExceptionRecord.ExceptionAddress == (LPVOID)address)
        {
            newCtx.Dr0 = newCtx.Dr6 = newCtx.Dr7 = 0;
            newCtx.EFlags |= (1 << 8);
            std::cout << "No good." << std::endl;            
        }else{
            newCtx.Dr0 = address;
            newCtx.Dr7 = 0x7FF607979711;
            newCtx.EFlags &= ~(1 << 8);
            std::cout << "Good." << std::endl;
        }
        SetThreadContext(hThread, &newCtx);
    }
    ContinueDebugEvent(debugEvent.dwProcessId, debugEvent.dwThreadId, DBG_CONTINUE);
}
std::cout << "Ok" << std::endl;
std::string s;
std::getline(std::cin, s);
return 0;
}

[Médinoc]

Pourquoi ré-ouvres tu le processus alors que tu as déjà un handle retourné par CreateProcess()? Notepad n'est pas single-instance.
Aussi, quels sont les retours (succès, erreurs) des fonctions?

Ah aussi...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

hThread = OpenProcess(PROCESS_ALL_ACCESS, FALSE, processid)

Rien qui te choque ici?

[KevinDA]

C'est un code brouillon j'ai testé plusieurs choses. Peux-tu me dire comment afficher toutes les adresses executés ?

[Médinoc]

Si j'ai bien compris les adresses tu les as grâce au DEBUG_EVENT. Mais ce que tu veux faire, c'est afficher ce qui y est contenu? (genre, pour trouver quelles instructions accèdent à la mémoire, les décoder pour obtenir l'adresse, etc.?)

Si oui, il va falloir du ReadProcessMemory().

PS: Si tu cherches juste à afficher, pourquoi modifies-tu le contexte?

[KevinDA]

Ok mais comment dois-je l'utiliser dans ce cas là ?????