8Fermer10
p_y_aLe 22/08/2004 à 10:18
Bon ben comme j'ai trouvé ma réponse, je post, ca peut interesser du monde. En gros y'a trois moyens de lire la mémoire utilisée par un prog:

La premiere, d'apres moi la plus facile à mettre en oeuvre et à comprendre, c'est d'utiliser les fonctions de l'api windows: OpenProcess, ReadProcessMemory. On récupere l'ID et l'Handle de du processus, on l'ouvre et on lit a l'adresse qu'on veut, facile .

La seconde est le hooking des messages qui circule entre windows et le processus. Malheuresement, ca ne permet pas de récupere d'info réellement interessante...mais ca peut servir, cf winspy .

La troisieme, et surement la plus difficile à comprendre, c'est le hooking en injectant du code dans le processus. En gros, on rajoute du code afin de récuperer ce qui nous interesse qd le processus va executer notre code. Ceci est tres pratique pour les logiciels qui recevoient et emettent constamment des données sur un reseau: Ca permet d'obtenir directement toutes les infos voulus, sans pour autant s'embeter a chercher les adresses ( qui peuvent variées ou etre tres difficile à trouver). Pouruqoi ne pas utilisé un sniff en réseau local si finalement c'est pour avoir des packet non formaté ? Parce que souvent ils sont cryptés grin Donc les prendre juste apres le décryptage du processus, c'est moins fatiguant grin

Pour avoir testé les trois, je trouve que la premiere est pas mal, pourquoi:
- Facile a mettre en place
- Pas de modif du code du proc ( indetectable, enfin *presque*, par le processus "scanné" )

Le seul probleme, c'est d'obetnir les adresses mémoires de ce qui nous interesse, pour cela on peut utiliser Tsearch ( super logiciel soit dit en passant grin). Cependant parfois,ces adresses peuvent etre "crypté" ( des simples rédirection d'adresses, mais bon, ca peut devenir tres vite impossible a décrypter...) et tout le jeu est de lire le code asm pour comprendre comment ca marche tongue
Utilité ? Pas grande chose, si ce n'est faire des petits logiciels sympa pour les jeux, comme des radars, du macroing évolué, et j'en passe.

(Pour trouver des renseignements sur ca: msdn.com, http://www.codeproject.com/threads/winspy.asp, et un article de developpez.com qui en parle, et moi seulement si tu es blonde a forte poitrine .)