質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.51%

  • C#

    9016questions

    C#はマルチパラダイムプログラミング言語の1つで、命令形・宣言型・関数型・ジェネリック型・コンポーネント指向・オブジェクティブ指向のプログラミング開発すべてに対応しています。

  • C

    4512questions

    C言語は、1972年にAT&Tベル研究所の、デニス・リッチーが主体となって作成したプログラミング言語です。 B言語の後継言語として開発されたことからC言語と命名。そのため、表記法などはB言語やALGOLに近いとされています。 Cの拡張版であるC++言語とともに、現在世界中でもっとも普及されているプログラミング言語です。

  • C++

    4414questions

    C++はC言語をもとにしてつくられた最もよく使われるマルチパラダイムプログラミング言語の1つです。オブジェクト指向、ジェネリック、命令型など広く対応しており、多目的に使用されています。

  • Visual Studio

    2352questions

    Microsoft Visual StudioはMicrosoftによる統合開発環境(IDE)です。多種多様なプログラミング言語に対応しています。

  • Win32 API

    290questions

    Win32 APIはMicrosoft Windowsの32bitプロセッサのOSで動作するAPIです。

C# WriteProcessMemoryで、ポインタ+オフセットが指定できない

解決済

回答 1

投稿

  • 評価
  • クリップ 0
  • VIEW 1,452

Susanoo2442

score 139

VisualStudio2015
C#
プラットフォーム64bit
使用デバッガ:CheatEngine 6.4

現在リバースエンジニアリングスキルを上げるために
プログラムの解析ツールを制作しております。
解析ツールの目的は
対象となるプログラムのメモリを書き換えて対象となるプログラムのステータスを変更する事です。
現在の開発段階としましては
まず、デバッガで対象のプロセスを解析します。
次に、対象のメモリアドレスを見つけます。
そして、そのメモリアドレスを
WriteProcessMemroyの第二引数に指定して、第三引数で実際に書き換えるメモリを指定して
メモリを書き換えています。
ここまでは、実際に上手くメモリが書き換わり、対象のプログラムのステータスが変わっていました。

問題は次で
対象のプログラムは起動する度に、メモリアドレスが変動します。
そこで、ポインタとオフセットを解析してメモリが変動しても目的のメモリアドレスを
簡単に割り出せるようにしました。

そして、そのポインタとオフセットを加算した変数を
WriteProcessMemoryの第二引数に渡しましたが
値は変わっておりませんでした。
しかし、if文でエラーチェックをしているのですが
コンソールには成功!と表示されていましたので
関数自体は、成功しているのではと思います。

WriteProcessMemoryにポインタとオフセットを指定して目的の
メモリを書き換えるにはどうするばよろしいでしょうか?
アドバイス頂けたらと思います。

下記がソースコードです。

using System;
using System.Collections.Generic;
using System.ComponentModel;
using System.Data;
using System.Drawing;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.Windows.Forms;
using System.Diagnostics;
using System.Runtime.InteropServices;

namespace NUNS4{




    public partial class Form1 : Form {



        [DllImport("kernel32.dll")]
        static extern IntPtr OpenProcess(ProcessAccessFlags dwDesiredAccess, [MarshalAs(UnmanagedType.Bool)] bool bInheritHandle, int dwProcessId);




        [DllImport("kernel32.dll", SetLastError = true, ExactSpelling = true)]
        static extern IntPtr VirtualAllocEx(int hProcess, long lpAddress,
        int dwSize, AllocationType flAllocationType, MemoryProtection flProtect);

        [DllImport("kernel32.dll", SetLastError = true, ExactSpelling = true)]
        static extern bool VirtualFreeEx(int hProcess, long lpAddress,
        int dwSize, FreeType dwFreeType);



        [DllImport("kernel32.dll", SetLastError = true)]
        static extern bool WriteProcessMemory(int hProcess, long lpBaseAddress,
          byte[] lpBuffer, int dwSize, ref int lpNumberOfBytesWritten);



        private enum ProcessAccessFlags : uint
        {
            All = 0x001F0FFF,
            Terminate = 0x00000001,
            CreateThread = 0x00000002,
            VMOperation = 0x00000008,
            PROCESS_VM_READ = 0x10,
            VMWrite = 0x00000020,
            DupHandle = 0x00000040,
            SetInformation = 0x00000200,
            QueryInformation = 0x00000400,
            Synchronize = 0x00100000
        }


        [Flags]
        public enum AllocationType
        {
            Commit = 0x1000,
            Reserve = 0x2000,
            Decommit = 0x4000,
            Release = 0x8000,
            Reset = 0x80000,
            Physical = 0x400000,
            TopDown = 0x100000,
            WriteWatch = 0x200000,
            LargePages = 0x20000000
        }

        [Flags]
        public enum MemoryProtection
        {
            Execute = 0x10,
            ExecuteRead = 0x20,
            ExecuteReadWrite = 0x40,
            ExecuteWriteCopy = 0x80,
            NoAccess = 0x01,
            ReadOnly = 0x02,
            ReadWrite = 0x04,
            WriteCopy = 0x08,
            GuardModifierflag = 0x100,
            NoCacheModifierflag = 0x200,
            WriteCombineModifierflag = 0x400
        }



        [Flags]
        public enum FreeType
        {
            Decommit = 0x4000,
            Release = 0x8000,
        }


        System.Diagnostics.Process[] ps =
        System.Diagnostics.Process.GetProcessesByName("Tutorial-x86_64");
        IntPtr aPtr;
        int aaa;








        public Form1(){
                    InitializeComponent();


            foreach (System.Diagnostics.Process p in ps)
            {
                Console.WriteLine("{0}/{1}", p.Id, p.MainWindowTitle);
                aaa = p.Id;
            }



            if ((aPtr = OpenProcess(ProcessAccessFlags.All, false, aaa)) == null)
            {
                Console.WriteLine("ハンドルが取得されませんでした");
            }
            else
            {
                Console.WriteLine("ハンドルが取得されました");
                Console.WriteLine(aPtr);
            }



        }

                private void button1_Click(object sender, EventArgs e)
        {


            long OffSet = 0x790; // オフセット
            long PointerAddress = 0x1002F79F0;// ポインタアドレス
            int faste = 0;
            byte[] newvalue3 = { 0x64 };
            long FinalAddress = OffSet + PointerAddress;


            Console.WriteLine("コマンドオン");
            VirtualAllocEx((int)aPtr, (long)PointerAddress, 1, AllocationType.Commit, MemoryProtection.ExecuteReadWrite);
            VirtualFreeEx((int)aPtr, (long)PointerAddress, 0, FreeType.Decommit);

            if ((WriteProcessMemory((int)aPtr, (long)FinalAddress,  newvalue3, 1, ref faste)) == false)
            {


                Console.WriteLine("プログラム改ざん失敗!");
            }

            else
            {
                Console.WriteLine("プログラム改ざん成功!");

            }

        }
    }
}

それでは、宜しくお願い致します。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • yohhoy

    2016/11/25 12:10 編集

    関数のP/Invoke宣言が適切ではありません。ポインタ型にIntPtrを使わないと、64bit環境だとまともに動かないのでは? http://www.pinvoke.net/default.aspx/kernel32.writeprocessmemory

    追記:IntPtrの件は、VirtualAllocEx, VirtualFreeEx, WriteProcessMemory全てを見直す必要があります。また質問文中も修正後コードに更新された方が良いです。

    キャンセル

  • Susanoo2442

    2016/11/25 17:49

    IntPtrを使用しましたが書き換える事は出来ませんでした。コーディングにも問題はないと思われるのですが、何が原因かさっぱり分かりません。

    キャンセル

回答 1

checkベストアンサー

+1

最初のステップでは、対象のプロセスのどこ(仮想アドレス)を書き換えるべきかは、目で見て確認したと言う事ですよね?で、次のステップとして:

対象のプログラムは起動する度に、メモリアドレスが変動します。
そこで、ポインタとオフセットを解析してメモリが変動しても目的のメモリアドレスを
簡単に割り出せるようにしました。 

ここで言う「ポインタ」と言うのは、対象のプロセスのとある場所(例では0x1002F79F0)に格納されているのだと思いますが、VirtualAllocExでそれを見えるようにしようとして、しかし実際にはFinalAddressは単にPointerAddressとOffsetから固定的に計算したアドレスに書いているように読めます。

補足:
対象が64ビットなら問題ありませんが、IntPtrを使った方が良いのはyohhoyさんの指摘の通りです。但し、間接ポインタの計算方法も32/64の違いで注意が必要ですし、対象のプロセスが32/64なのかによっても違うので、真面目にやると結構大変です。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/01/30 11:43

    ベストアンサー遅くなりました。
    全ての原因はReadProcessMemoryを記述して無かった事でした。

    ReadProcessMemoryで目的の値を読み取って
    そこから、オフセットの処理などを行わなければいけなかったみたいです。

    ありがとうございました。

    キャンセル

  • 2017/01/30 11:45

    :+1:

    キャンセル

同じタグがついた質問を見る

  • C#

    9016questions

    C#はマルチパラダイムプログラミング言語の1つで、命令形・宣言型・関数型・ジェネリック型・コンポーネント指向・オブジェクティブ指向のプログラミング開発すべてに対応しています。

  • C

    4512questions

    C言語は、1972年にAT&Tベル研究所の、デニス・リッチーが主体となって作成したプログラミング言語です。 B言語の後継言語として開発されたことからC言語と命名。そのため、表記法などはB言語やALGOLに近いとされています。 Cの拡張版であるC++言語とともに、現在世界中でもっとも普及されているプログラミング言語です。

  • C++

    4414questions

    C++はC言語をもとにしてつくられた最もよく使われるマルチパラダイムプログラミング言語の1つです。オブジェクト指向、ジェネリック、命令型など広く対応しており、多目的に使用されています。

  • Visual Studio

    2352questions

    Microsoft Visual StudioはMicrosoftによる統合開発環境(IDE)です。多種多様なプログラミング言語に対応しています。

  • Win32 API

    290questions

    Win32 APIはMicrosoft Windowsの32bitプロセッサのOSで動作するAPIです。