+- الفريق العربي للهندسة العكسية (https://www.at4re.net/f)
+-- قسم : منتديات الهندسة العكسية - Reverse Engineering Forums (https://www.at4re.net/f/forum-4.html)
+--- قسم : الأسئلة والإستفسارات، حلول المشاكل و تبادل الخبرات - Expert Exchange Newbie Questions Answers (https://www.at4re.net/f/forum-36.html)
+--- الموضوع : كتابة برنامج لقراءة قيم الرجستر في البرنامج (/thread-1031.html)
كتابة برنامج لقراءة قيم الرجستر في البرنامج - bounacer - 27-07-2019
السلام عليكم ورحمة الله وبركاته
عندي سؤال واحتاج مساعدة منكم الله ينوركم
اريد عمل برنامج صغير هدفه يقرأ قيم الرجستر مثل EAX , EBX , ECX , EDX... في البرنامج
البارامترات : العنوان مثل : 00434262 و اسم البرنامج او مساره
لو حبد اعمله في ال C# او Delphi
وشكرا لم في انتظار ردكم الحار
عندي سؤال واحتاج مساعدة منكم الله ينوركم
اريد عمل برنامج صغير هدفه يقرأ قيم الرجستر مثل EAX , EBX , ECX , EDX... في البرنامج
البارامترات : العنوان مثل : 00434262 و اسم البرنامج او مساره
لو حبد اعمله في ال C# او Delphi
وشكرا لم في انتظار ردكم الحار
RE: كتابة برنامج لقراءة قيم الرجستر في البرنامج - GamingMaster - 27-07-2019
https://www.at4re.net/f/thread-231.html
RE: كتابة برنامج لقراءة قيم الرجستر في البرنامج - bounacer - 27-07-2019
شكرا اخي [b]GamingMaster[/b] لكن الموضوع فيه اقتناص السريال وامور كثيرة
باختصار مارايده هو قراءة قيم المسجلات لا اكثر , في الموضوع وضعو التعديل على ال Flag ZF
لكن لم يقرأ قيمة احد المسجلات
RE: كتابة برنامج لقراءة قيم الرجستر في البرنامج - GamingMaster - 27-07-2019
الفكرة اذا فهمتها بشكل عام يمكنك توظيفها حسب رغبتك.
المسجلات موجودة في الـ context structure يمكنك قراءتها او الكتابة عليها :
if (context->Eip == 0x00403ff4)
{
// grab the good serial ;)
ReadProcessMemory(pinfo.hProcess, (PVOID)context->Edx, lpSerial, size, 0);
};
RE: كتابة برنامج لقراءة قيم الرجستر في البرنامج - Gu-sung18 - 28-07-2019
وعليكم السلام
في ويندوز الدوال GetThreadContext / SetThreadContext يمكنهما الاطلاع على قيم المسجلات للـ process
إقتباس :A process with appropriate access to a thread can examine the thread's registers by using the GetThreadContext function and set the contents of the thread's registers by using the SetThreadContext function
https://docs.microsoft.com/en-us/windows/win32/debug/thread-functions-for-debugging
بالنسبة لـ
إقتباس :لو حبد اعمله في ال C# او Delphi
انا مبتدأ بالبرمجة
ولكني بحثت لك عن اكواد ربما تفيدكبالنسبة للدلفي فالكود الخاص بالمنقح cheat-engine يعتبر كنز عظيم وفية ما لذ وطاب
https://github.com/cheat-engine/cheat-engine/search?q=GetThreadContext+SetThreadContext&unscoped_q=GetThreadContext+SetThreadContext
RE: كتابة برنامج لقراءة قيم الرجستر في البرنامج - STRELiTZIA - 28-07-2019
و عليكم السلام و رحمة الله
تقريبا نفس المثال بدلفي:
https://www.at4re.net/f/thread-268.html
RE: كتابة برنامج لقراءة قيم الرجستر في البرنامج - bounacer - 29-07-2019
شكرا لكم احبتي , سأحاول عمل البرنامج بالدلفي لقراءة قيم الرجسترات , المشكل ان في كلا الاقتراحين امور كثيرة ولست مبرمج دلفي بقدر انا متخصص في ال C# واخواتها Cpp و C . وان شاء الله يكون على C# لقراءة كافة الرجسترات
الان قمت بفكرة افضل وهي عمل اخر مشابه ب C++ يقرأ قيمة العنوان وبه وصلت لما اريد بمقارنة عنوانين ولكن تحتاج لعمل خدعة على ملف exe ليصل الى المكان المطلوب فقط , وهي عمل INT أمام العنوان الموالي ليتوقف البرنامج لاني لم اقم بعمل نقاط توقف بالبرنامج في السورس
السورس
#include <iostream>
#include <windows.h>
#include <string>
#include<cstdlib>
#include<ctime>
using namespace std;
int main() {
int value;
DWORD address = 0x0000C400;
HWND hWnd = FindWindowA(0,"TargetName");
DWORD pId;
srand(time(0));
if (hWnd == 0) {
printf("connot find Api pleaser contact ");
Sleep(1000);
}else {
GetWindowThreadProcessId(hWnd, &pId);
HANDLE hProcess = OpenProcess(PROCESS_VM_READ,FALSE, pId);
if (!hProcess) {
printf("Connot OI Process");
Sleep(1000);
} else {
ReadProcessMemory(hProcess, (LPVOID)address, &value, sizeof(value), 0);
CloseHandle(hProcess);
cout << value << endl;
system("Pause");
}
}
}
RE: كتابة برنامج لقراءة قيم الرجستر في البرنامج - GamingMaster - 29-07-2019
بنفس المثال نقوم بعمل hardware breakpoint على عنوان وعندما يتوقف سير البرنامج عند نقطة التوقف نقوم بقراءة الcontext
RE: كتابة برنامج لقراءة قيم الرجستر في البرنامج - bounacer - 29-07-2019
من فضلك اخي [b]GamingMaster[/b] هل يمكنك تعديل السورس بحيث يقرأ أحد المسجلات EDX او EBX مع وضع نقطة التوقف على العنوان الدي يليه او نفس العنوان
جزاك الله خيرا اخي
RE: كتابة برنامج لقراءة قيم الرجستر في البرنامج - Gu-sung18 - 29-07-2019
بعد البحث وعمل research عن الموضوع وجدت ان الفكرة ليست جديدة فـ Mario Vilas برمج سكربت بايثون لمنقحة winappdbg يقوم بنفس الامر
إقتباس :dumping code, stack and registers
https://winappdbg.readthedocs.io/en/latest/_downloads/04_dump.py
وكذلك Justin Seitz برمج منقح بايثون صغير وقام ببرمجة سكربت يقوم بنفس الامر في كتابة Gray Hat Python في الشابتر الثالث وشرح الامر كذلك بالتفصيل.
https://nostarch.com/download/ghpython_src.zip
https://crattack.tistory.com/entry/python-thread-context-%EB%B3%B4%EA%B8%B0win7-64bit
E:\pytest>python loader.py
Enter The PID of the process to attach to : 6256
[*] Select PID 6256
[*] OpenProcess Handle : 512
[*] self.h_process : 512
[*] Enumerate Thread inside
[*] Dumping registers for Thread ID: 0x00002608
[*] RIP : 0x0000000000000001
[*] RSP : 0x00000000013ef4f0
[*] RBP : 0x00000000013ef280
[*] RAX : 0x000000005e340000
[*] RBX : 0x00000000013ef3b0
[*] RCX : 0x000000000362d560
[*] RDX : 0x000000000362d3e8
[*] End DUMP
[*] Dumping registers for Thread ID: 0x0000230c
[*] RIP : 0x0000000000000001
[*] RSP : 0x00000000013ef4f0
[*] RBP : 0x00000000013ef280
[*] RAX : 0x000000005e340000
[*] RBX : 0x00000000013ef3b0
[*] RCX : 0x00000000013ef2f0
[*] RDX : 0x00009f1917c72eb1
[*] End DUMP
[*] Dumping registers for Thread ID: 0x00000a78
[*] RIP : 0x0000000000000001
[*] RSP : 0x00000000013ef4f0
[*] RBP : 0x00000000013ef280
[*] RAX : 0x000000005e340000
[*] RBX : 0x00000000013ef3b0
[*] RCX : 0x00000000013ef2f0
[*] RDX : 0x00009f1917c72eb1
[*] End DUMP
[*] Dumping registers for Thread ID: 0x00001a58
[*] RIP : 0x0000000000000001
[*] RSP : 0x00000000013ef4f0
[*] RBP : 0x00000000013ef280
[*] RAX : 0x000000005e340000
[*] RBX : 0x00000000013ef3b0
[*] RCX : 0x00000000013ef2f0
[*] RDX : 0x00009f1917c72eb1
[*] End DUMP
[*] Dumping registers for Thread ID: 0x00000c1c
[*] RIP : 0x0000000000000001
[*] RSP : 0x00000000013ef4f0
[*] RBP : 0x00000000013ef280
[*] RAX : 0x000000005e340000
[*] RBX : 0x00000000013ef3b0
[*] RCX : 0x00000000013ef2f0
[*] RDX : 0x00009f1917c72eb1
[*] End DUMP
[*] Dumping registers for Thread ID: 0x000023e4
[*] RIP : 0x0000000000000001
[*] RSP : 0x00000000013ef4f0
[*] RBP : 0x00000000013ef280
[*] RAX : 0x000000005e340000
[*] RBX : 0x00000000013ef3b0
[*] RCX : 0x00000000013ef2f0
[*] RDX : 0x00009f1917c72eb1
[*] End DUMP
[*] Dumping registers for Thread ID: 0x00000994
[*] RIP : 0x0000000000000001
[*] RSP : 0x00000000013ef4f0
[*] RBP : 0x00000000013ef280
[*] RAX : 0x000000005e340000
[*] RBX : 0x00000000013ef3b0
[*] RCX : 0x00000000013ef2f0
[*] RDX : 0x00009f1917c72eb1
[*] End DUMP
[*] Dumping registers for Thread ID: 0x00001688
[*] RIP : 0x0000000000000001
[*] RSP : 0x00000000013ef4f0
[*] RBP : 0x00000000013ef280
[*] RAX : 0x000000005e340000
[*] RBX : 0x00000000013ef3b0
[*] RCX : 0x00000000013ef2f0
[*] RDX : 0x00009f1917c72eb1
[*] End DUMP
[*] finished debugging. Exiting...
E:\pytest>
السكربت سيطلب منك فقط الـ PID للـ process الذي تريده
كلمة السر
www.at4re.net
dump_thread_context.zip (الحجم : 5.77 KB / التحميلات : 21)
كذلك لغة بايثون تسهل لك الامر بخصوص اضافة اشياء جديدة للسكربت
ولكن سيكون من الجميل لو تم برمجة كود بـ c او ++c في حال تطلب الامر سرعة او تطوير اداة خاصة