質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.50%

  • C#

    9051questions

    C#はマルチパラダイムプログラミング言語の1つで、命令形・宣言型・関数型・ジェネリック型・コンポーネント指向・オブジェクティブ指向のプログラミング開発すべてに対応しています。

  • C

    4539questions

    C言語は、1972年にAT&Tベル研究所の、デニス・リッチーが主体となって作成したプログラミング言語です。 B言語の後継言語として開発されたことからC言語と命名。そのため、表記法などはB言語やALGOLに近いとされています。 Cの拡張版であるC++言語とともに、現在世界中でもっとも普及されているプログラミング言語です。

  • C++

    4437questions

    C++はC言語をもとにしてつくられた最もよく使われるマルチパラダイムプログラミング言語の1つです。オブジェクト指向、ジェネリック、命令型など広く対応しており、多目的に使用されています。

  • Visual Studio

    2364questions

    Microsoft Visual StudioはMicrosoftによる統合開発環境(IDE)です。多種多様なプログラミング言語に対応しています。

  • Win32 API

    290questions

    Win32 APIはMicrosoft Windowsの32bitプロセッサのOSで動作するAPIです。

WriteProcessMemoryが効かない

解決済

回答 1

投稿

  • 評価
  • クリップ 0
  • VIEW 1,281

Susanoo2442

score 139

今、リバースエンジニアリングのスキルを上げるために
テストプログラムのステータス(メモリ)を書き換える解析プログラムを制作しております。
テストプログラムのメモリなどのサーチはCheatEngine6.4というデバッガで行っております。

開発の流れとしましては、このデバッガでテストプログラムの
メモリをサーチしてメモリアドレスを特定して、そのメモリアドレスを基に
解析プログラムの方からWin32APIのWriteProcessMemory関数で
テストプログラムの方を書き換えるといった流れです。

開発工程としては

1、ターゲットのプロセスIDを取得する(ProcessGetByName関数)
2、ターゲットのプロセスハンドルを取得する(OpenProcess関数)
3、ターゲットのメモリを書き換えるので書き換えなければならないターゲットのメモリ領域を確保する
(ReadProcessMemory関数)
4、実際にターゲットのメモリを書き換える(WriteProcessMemory関数)

この、1から4までの開発工程で
3までは問題ないのですが
4の箇所で問題が起きております。

といいますのも
WriteProcessMemory関数自体は問題なく成功しております。
しかしながら、実際にテストプログラムの方で値が書き換わっておりません。
海外のサイトや動画などで、アドレスやポインタなどの特定のサーチの仕方なども
調べましたが今一つ原因が分かっておりません。

using System;
using System.Collections.Generic;
using System.ComponentModel;
using System.Data;
using System.Drawing;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.Windows.Forms;
using System.Diagnostics;
using System.Runtime.InteropServices;

namespace NUNS4{




    public partial class Form1 : Form{



        [DllImport("kernel32.dll")]
        static extern IntPtr OpenProcess(ProcessAccessFlags dwDesiredAccess, [MarshalAs(UnmanagedType.Bool)] bool bInheritHandle, int dwProcessId);




        [DllImport("kernel32.dll", SetLastError = true, ExactSpelling = true)]
        static extern IntPtr VirtualAllocEx(IntPtr hProcess, IntPtr lpAddress,
        IntPtr dwSize, AllocationType flAllocationType, MemoryProtection flProtect);

        [DllImport("kernel32.dll", SetLastError = true, ExactSpelling = true)]
        static extern bool VirtualFreeEx(IntPtr hProcess, IntPtr lpAddress,
        int dwSize, FreeType dwFreeType);



        [DllImport("kernel32.dll")]
        public static extern bool ReadProcessMemory(IntPtr hProcess,
     int lpBaseAddress, int lpBuffer, int dwSize, ref int lpNumberOfBytesRead);




        [DllImport("kernel32.dll", SetLastError = true)]
        static extern bool WriteProcessMemory(IntPtr hProcess, int lpBaseAddress,
          int lpBuffer, int dwSize, ref int lpNumberOfBytesWritten);



        private enum ProcessAccessFlags : uint
        {
            All = 0x001F0FFF,
            Terminate = 0x00000001,
            CreateThread = 0x00000002,
            VMOperation = 0x00000008,
            PROCESS_VM_READ = 0x10,
            VMWrite = 0x00000020,
            DupHandle = 0x00000040,
            SetInformation = 0x00000200,
            QueryInformation = 0x00000400,
            Synchronize = 0x00100000
        }


        [Flags]
        public enum AllocationType
        {
            Commit = 0x1000,
            Reserve = 0x2000,
            Decommit = 0x4000,
            Release = 0x8000,
            Reset = 0x80000,
            Physical = 0x400000,
            TopDown = 0x100000,
            WriteWatch = 0x200000,
            LargePages = 0x20000000
        }

        [Flags]
        public enum MemoryProtection
        {
            Execute = 0x10,
            ExecuteRead = 0x20,
            ExecuteReadWrite = 0x40,
            ExecuteWriteCopy = 0x80,
            NoAccess = 0x01,
            ReadOnly = 0x02,
            ReadWrite = 0x04,
            WriteCopy = 0x08,
            GuardModifierflag = 0x100,
            NoCacheModifierflag = 0x200,
            WriteCombineModifierflag = 0x400
        }



        [Flags]
        public enum FreeType
        {
            Decommit = 0x4000,
            Release = 0x8000,
        }




                 int faste = 0;
                 int aaa;
                 byte[] newvalue3 = { 0x64, 0x00, 0x00, 0x00 };
        int newvalue2 = 600;
                 IntPtr aPtr;
                 System.Diagnostics.Process[] ps =
                 System.Diagnostics.Process.GetProcessesByName("Tutorial-x86_64");




        public Form1(){
                    InitializeComponent();
            foreach (System.Diagnostics.Process p in ps)
            {
                Console.WriteLine("{0}/{1}", p.Id, p.MainWindowTitle);
                aaa = p.Id;
            }



            if ((aPtr = OpenProcess(ProcessAccessFlags.All, false, aaa)) == null)
            {
                Console.WriteLine("ハンドルが取得されませんでした");
            }
            else
            {
                Console.WriteLine("ハンドルが取得されました");
                Console.WriteLine(aPtr);
            }



        }

        private void button1_Click(object sender, EventArgs e)
        {
            Console.WriteLine("コマンドオン");

            VirtualAllocEx(aPtr,  (IntPtr)0x15C0E70, (IntPtr)4, AllocationType.Commit, MemoryProtection.ExecuteReadWrite);
            VirtualFreeEx((IntPtr)aPtr, (IntPtr)0x15C0E70, 0, FreeType.Decommit);



            ReadProcessMemory((IntPtr)aPtr, 0x15C0E70, newvalue2, 4, ref faste);
            if ((WriteProcessMemory((IntPtr)aPtr, 0x15C0E70, newvalue2, 4, ref faste)) == false)
            {


                Console.WriteLine("プログラム改ざん失敗!");
            }

            else
            {


                Console.WriteLine("プログラム改ざん成功!");

            }




        }
    }
}

こちらがソースコードですが
こちらの解析プログラムで
WriteProdessMemory関数を使って
テストプログラムのメモリを実際に書き換えるべく
アドバイス頂けたらと思います。

それでは、宜しくお願い致します。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

checkベストアンサー

0

WriteProcessMemoryのサンプルが有りました。(C++のサンプルですが考え方は同じかと)
Win32APIを使って動的に他プロセスのプロセスメモリを書き換える方法

ところで書き変わらないというのは、元のプロセスで常に書き込みに行っているということはないでしょうか?

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/11/21 18:09




    WriteProcessMemory関数
    自体は成功していました。

    しかしながら
    実際に値が変わらなかったのは

    WriteProcessMemory関数の
    前にReadProcessMemory関数を
    記述していた事でした。

    この、ReadProcessMemoryは
    恐らく、ターゲットの
    メモリ領域をコピーしてくるので
    コピーしたメモリ領域を
    WriteProcessMemoryで直接書き換えて
    しまっていたため
    結局は、本来のメモリアドレスと
    同じ値を書き換えていただけでした。

    ありがとうございました。


    キャンセル

同じタグがついた質問を見る

  • C#

    9051questions

    C#はマルチパラダイムプログラミング言語の1つで、命令形・宣言型・関数型・ジェネリック型・コンポーネント指向・オブジェクティブ指向のプログラミング開発すべてに対応しています。

  • C

    4539questions

    C言語は、1972年にAT&Tベル研究所の、デニス・リッチーが主体となって作成したプログラミング言語です。 B言語の後継言語として開発されたことからC言語と命名。そのため、表記法などはB言語やALGOLに近いとされています。 Cの拡張版であるC++言語とともに、現在世界中でもっとも普及されているプログラミング言語です。

  • C++

    4437questions

    C++はC言語をもとにしてつくられた最もよく使われるマルチパラダイムプログラミング言語の1つです。オブジェクト指向、ジェネリック、命令型など広く対応しており、多目的に使用されています。

  • Visual Studio

    2364questions

    Microsoft Visual StudioはMicrosoftによる統合開発環境(IDE)です。多種多様なプログラミング言語に対応しています。

  • Win32 API

    290questions

    Win32 APIはMicrosoft Windowsの32bitプロセッサのOSで動作するAPIです。