C# WriteProcessMemoryで、ポインタ+オフセットが指定できない
解決済
回答 1
投稿
- 評価
- クリップ 0
- VIEW 2,463
VisualStudio2015
C#
プラットフォーム64bit
使用デバッガ:CheatEngine 6.4
現在リバースエンジニアリングスキルを上げるために
プログラムの解析ツールを制作しております。
解析ツールの目的は
対象となるプログラムのメモリを書き換えて対象となるプログラムのステータスを変更する事です。
現在の開発段階としましては
まず、デバッガで対象のプロセスを解析します。
次に、対象のメモリアドレスを見つけます。
そして、そのメモリアドレスを
WriteProcessMemroyの第二引数に指定して、第三引数で実際に書き換えるメモリを指定して
メモリを書き換えています。
ここまでは、実際に上手くメモリが書き換わり、対象のプログラムのステータスが変わっていました。
問題は次で
対象のプログラムは起動する度に、メモリアドレスが変動します。
そこで、ポインタとオフセットを解析してメモリが変動しても目的のメモリアドレスを
簡単に割り出せるようにしました。
そして、そのポインタとオフセットを加算した変数を
WriteProcessMemoryの第二引数に渡しましたが
値は変わっておりませんでした。
しかし、if文でエラーチェックをしているのですが
コンソールには成功!と表示されていましたので
関数自体は、成功しているのではと思います。
WriteProcessMemoryにポインタとオフセットを指定して目的の
メモリを書き換えるにはどうするばよろしいでしょうか?
アドバイス頂けたらと思います。
下記がソースコードです。
using System;
using System.Collections.Generic;
using System.ComponentModel;
using System.Data;
using System.Drawing;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.Windows.Forms;
using System.Diagnostics;
using System.Runtime.InteropServices;
namespace NUNS4{
public partial class Form1 : Form {
[DllImport("kernel32.dll")]
static extern IntPtr OpenProcess(ProcessAccessFlags dwDesiredAccess, [MarshalAs(UnmanagedType.Bool)] bool bInheritHandle, int dwProcessId);
[DllImport("kernel32.dll", SetLastError = true, ExactSpelling = true)]
static extern IntPtr VirtualAllocEx(int hProcess, long lpAddress,
int dwSize, AllocationType flAllocationType, MemoryProtection flProtect);
[DllImport("kernel32.dll", SetLastError = true, ExactSpelling = true)]
static extern bool VirtualFreeEx(int hProcess, long lpAddress,
int dwSize, FreeType dwFreeType);
[DllImport("kernel32.dll", SetLastError = true)]
static extern bool WriteProcessMemory(int hProcess, long lpBaseAddress,
byte[] lpBuffer, int dwSize, ref int lpNumberOfBytesWritten);
private enum ProcessAccessFlags : uint
{
All = 0x001F0FFF,
Terminate = 0x00000001,
CreateThread = 0x00000002,
VMOperation = 0x00000008,
PROCESS_VM_READ = 0x10,
VMWrite = 0x00000020,
DupHandle = 0x00000040,
SetInformation = 0x00000200,
QueryInformation = 0x00000400,
Synchronize = 0x00100000
}
[Flags]
public enum AllocationType
{
Commit = 0x1000,
Reserve = 0x2000,
Decommit = 0x4000,
Release = 0x8000,
Reset = 0x80000,
Physical = 0x400000,
TopDown = 0x100000,
WriteWatch = 0x200000,
LargePages = 0x20000000
}
[Flags]
public enum MemoryProtection
{
Execute = 0x10,
ExecuteRead = 0x20,
ExecuteReadWrite = 0x40,
ExecuteWriteCopy = 0x80,
NoAccess = 0x01,
ReadOnly = 0x02,
ReadWrite = 0x04,
WriteCopy = 0x08,
GuardModifierflag = 0x100,
NoCacheModifierflag = 0x200,
WriteCombineModifierflag = 0x400
}
[Flags]
public enum FreeType
{
Decommit = 0x4000,
Release = 0x8000,
}
System.Diagnostics.Process[] ps =
System.Diagnostics.Process.GetProcessesByName("Tutorial-x86_64");
IntPtr aPtr;
int aaa;
public Form1(){
InitializeComponent();
foreach (System.Diagnostics.Process p in ps)
{
Console.WriteLine("{0}/{1}", p.Id, p.MainWindowTitle);
aaa = p.Id;
}
if ((aPtr = OpenProcess(ProcessAccessFlags.All, false, aaa)) == null)
{
Console.WriteLine("ハンドルが取得されませんでした");
}
else
{
Console.WriteLine("ハンドルが取得されました");
Console.WriteLine(aPtr);
}
}
private void button1_Click(object sender, EventArgs e)
{
long OffSet = 0x790; // オフセット
long PointerAddress = 0x1002F79F0;// ポインタアドレス
int faste = 0;
byte[] newvalue3 = { 0x64 };
long FinalAddress = OffSet + PointerAddress;
Console.WriteLine("コマンドオン");
VirtualAllocEx((int)aPtr, (long)PointerAddress, 1, AllocationType.Commit, MemoryProtection.ExecuteReadWrite);
VirtualFreeEx((int)aPtr, (long)PointerAddress, 0, FreeType.Decommit);
if ((WriteProcessMemory((int)aPtr, (long)FinalAddress, newvalue3, 1, ref faste)) == false)
{
Console.WriteLine("プログラム改ざん失敗!");
}
else
{
Console.WriteLine("プログラム改ざん成功!");
}
}
}
}それでは、宜しくお願い致します。
-
気になる質問をクリップする
クリップした質問は、後からいつでもマイページで確認できます。
またクリップした質問に回答があった際、通知やメールを受け取ることができます。
クリップを取り消します
-
良い質問の評価を上げる
以下のような質問は評価を上げましょう
- 質問内容が明確
- 自分も答えを知りたい
- 質問者以外のユーザにも役立つ
評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。
質問の評価を上げたことを取り消します
-
評価を下げられる数の上限に達しました
評価を下げることができません
- 1日5回まで評価を下げられます
- 1日に1ユーザに対して2回まで評価を下げられます
質問の評価を下げる
teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。
- プログラミングに関係のない質問
- やってほしいことだけを記載した丸投げの質問
- 問題・課題が含まれていない質問
- 意図的に内容が抹消された質問
- 過去に投稿した質問と同じ内容の質問
- 広告と受け取られるような投稿
評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。
質問の評価を下げたことを取り消します
この機能は開放されていません
評価を下げる条件を満たしてません
質問の評価を下げる機能の利用条件
この機能を利用するためには、以下の事項を行う必要があります。
- 質問回答など一定の行動
-
メールアドレスの認証
メールアドレスの認証
-
質問評価に関するヘルプページの閲覧
質問評価に関するヘルプページの閲覧
checkベストアンサー
+1
最初のステップでは、対象のプロセスのどこ(仮想アドレス)を書き換えるべきかは、目で見て確認したと言う事ですよね?で、次のステップとして:
対象のプログラムは起動する度に、メモリアドレスが変動します。
そこで、ポインタとオフセットを解析してメモリが変動しても目的のメモリアドレスを
簡単に割り出せるようにしました。
ここで言う「ポインタ」と言うのは、対象のプロセスのとある場所(例では0x1002F79F0)に格納されているのだと思いますが、VirtualAllocExでそれを見えるようにしようとして、しかし実際にはFinalAddressは単にPointerAddressとOffsetから固定的に計算したアドレスに書いているように読めます。
補足:
対象が64ビットなら問題ありませんが、IntPtrを使った方が良いのはyohhoyさんの指摘の通りです。但し、間接ポインタの計算方法も32/64の違いで注意が必要ですし、対象のプロセスが32/64なのかによっても違うので、真面目にやると結構大変です。
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
15分調べてもわからないことは、teratailで質問しよう!
- ただいまの回答率 88.36%
- 質問をまとめることで、思考を整理して素早く解決
- テンプレート機能で、簡単に質問をまとめられる
質問への追記・修正、ベストアンサー選択の依頼
yohhoy
2016/11/25 12:10 編集
関数のP/Invoke宣言が適切ではありません。ポインタ型にIntPtrを使わないと、64bit環境だとまともに動かないのでは? http://www.pinvoke.net/default.aspx/kernel32.writeprocessmemory
追記:IntPtrの件は、VirtualAllocEx, VirtualFreeEx, WriteProcessMemory全てを見直す必要があります。また質問文中も修正後コードに更新された方が良いです。
Susanoo2442
2016/11/25 17:49
IntPtrを使用しましたが書き換える事は出来ませんでした。コーディングにも問題はないと思われるのですが、何が原因かさっぱり分かりません。