Findwindow?

10/11/2013 04:29 .SnoX#1

Hey zusammen, ich habe eine Frage undzwar suche ich ein Befehl wie ich ein Programm finde, der nicht �ber Findwindow verl�uft.

Vielleicht durch den Exennamen selbst, aber selbst dort k�nnte man die exe einfach umbenennen, deswegen suche ich etwas was man nicht so leicht �ndern kann.

Irgendeine erkennbare Struktur eines Programmes, Prozess oder sonstiges.

Undzwar m�chte ich um es genauer zu erl�utern das mein Programm alle 7 sek einen Suchlauf durchf�hrt das nach einer bestimmten Datei (Cheat Engine) sucht, halt nicht �ber Findwindow, falls er es nicht findet passiert nix und wenn er es findet schlie�t sich mein Program.

Bedanke mich schonmal im vorraus.

10/11/2013 10:04 snow#2

Mach nen Snapshot von allen aktiven Prozessen (CreateToolhelp32Snapshot) und such dann nach nem Pattern in den Prozessen. Oder lies die Executables mit ReadFile ein und erstell nen Hash. Wenn er mit dem von CE �bereinstimmt -> Treffer
Hook NtOpenProcess und schau, ob es dein Prozess ist, f�r den das Handle erstellt werden soll. Gibt ne Menge M�glichkeiten.

10/11/2013 10:42 Padmak#3

Oder du treibst das mit ReadFile etwas weiter und �berpr�fst nicht nur den Hash, den kann man �ndern. Du k�nntest nach den typischen Modulen suchen, in der Exe nach typischen Strings etc etc
Deiner Fantasie sind kaum Grenzen gesetzt :P

Padmak

10/11/2013 12:21 MrSm!th#4

Und nicht zu vergessen:
Solche Blacklists sind unglaublich nutzlos, weil man nicht viel Fantasie braucht, um sie zu umgehen.

10/11/2013 13:15 Master674b#5

Oder du alloziierst eine neue Memory Page, l�sst sie ohne darauf zuzugreifen im Speicher und rufst dauernd QueryWorkingSet f�r sie auf, dann guckst du ob sie bereits initialisiert wurde. Wenn ja, hat irgendwas darauf zugegriffen (z.B. ReadProcessMemory / WriteProcessMemory) und nen Page-Fault ausgel�st und die Page wurde physikalisch initialisiert.

Dann kannst zumindest nicht mehr im Prozess nach irgendwas suchen.
Ist aber sehr anf�llig wenn z.B. nen b�sen Treiber oder Antivirus-Software hast.

Mit ein bisschen Fantasie l�sst sich damit eine wunderbare Debugger Detection draus machen.

10/12/2013 17:16 Omdi#6

Oder du schaust einfach ob es einen offenen Handle zu deinem Prozess gibt (Systemprozesse jetzt mal ausgeschlossen).