Vb.net value scan

07/20/2011 20:13 Miraculi ii#1

Hey,
Ich brauche eure hilfe ^^
und zwar versuche ich ein Programm zu schreiben, dass im speicher eines process nach einem bestimmten wert sucht. in diesem fall -> 66903 (4 byte)
ich habe es schon hinbekommen, dass er nach dem wert sucht mithilfe von ReadProcessMemory, aber es dauert viel zu lange. bei einer range von 52A9999 - 58F0000 braucht das programm ca 10 minuten zum suchen.
ich brauche ein paar tipps, wie man es schneller machen kann ^^
ich meine cheat engine funktioniert auch viel schneller als das ^^
Hier noch mein Quellcode:

Spoiler

nach dem ersten durchsuchen ver�ndert sich die range um +/- 700 um die adresse
den ersten scan habe ich rot markiert, es soll verschnellert werden ^^

danke schonmal f�r eure hilfe ^^
MfG Miraculi ii

07/22/2011 13:07 buFFy!#2

mach nen bp auf deine addresse und schau was auf die addresse schreibt oder liest. evtl hast du dann sowas wie MOV DWORD PTR DS: [0xaddresse], register oder so. dann kannst du nach dem bytemuster der region suchen und die addresse von dort auslesen.schneller gehts nicht ^^ ansonsten ist deine addresse evtl. auch immer bei base+x. das wird dann aber nach nem update ge�ndert

07/23/2011 16:34 Miraculi ii#3

du meinst die base von der adresse rausfinden.
das problem ist, wenn ich nach dem pointer suchen will und den debugger starte, wird das game geschlossen (Resident Evil 5) also kann ich nciht nach dem pointer suchen.
mithilfe von ollydbg hab ich uach versucht den schutz zu entfernen und den befehlt einfach zu jumpen, aber da kam dann ein zweiter error von der xlive, den man nicht jumpen kann.
jetzt hab ich die l�sung mit dem suchen nach der value durchgesetzt. es funktioniert auch, ab bis das ding die adresse gefunden hat, k�nnen auch 10 min vergehen :/

07/24/2011 10:42 buFFy!#4

nein meine ich nicht.

benutzt du HideOD und Phantom? wenn nicht, das sind 2 super plugins die beim 'verstecken' von olly helfen. ansonsten schau ob das spiel IsDebuggerPresent oder die asm version verwendet wird. (wei� nicht ob das was bringt, das debug flag wird sowieso entfernt)

sobald du den debugger attached hast (probier evtl. mal den ring0 debugger von cheat engine oder softice) schau nach was zu deiner addresse schreibt und kopier ein paar bytes hier ins topic. dann sag ich dir wie du an deine addresse kommst ^^

07/24/2011 19:46 Miraculi ii#5

ok ich versuche das mal...
melde mich sp�ter nochmal