CE "Write-on" Ergebnis Verständnis

12/02/2013 14:20 erudite#1
Hey Leute

Eine kurze Frage: Ich habe eine Adresse in 4Story gefunden und wollte wissen, welcher Pointer dahinter steht. Nach dem Scan wurde mir folgendes Ergebnis angezeigt.

Warum "+TClient.exe"? Wird es vom Server beschrieben?

Grüße und Danke :)

GELÖST!
Siehe Post von Ten$ion

Danke nochmal!
12/02/2013 15:43 Saedelaere*#2
Wie soll der Server denn bitte in deinen Prozess reinschreiben? Der Server sendet höchstens ein Paket, was den Client dazu bringt den Wert zu ändern.

Das +TClient.exe bedeutet lediglich, dass die Adressen relativ zur ImageBase der TClient.exe sind. Du musst also die ImageBase auf das Offset addieren, um die absolute Adresse zu bekommen.
12/02/2013 16:28 erudite#3
Quote:
Originally Posted by Saedelaere* View Post
Wie soll der Server denn bitte in deinen Prozess reinschreiben? Der Server sendet höchstens ein Paket, was den Client dazu bringt den Wert zu ändern.
Das meinte ich mit "darauf schreiben".

Quote:
Originally Posted by Saedelaere* View Post
Das +TClient.exe bedeutet lediglich, dass die Adressen relativ zur ImageBase der TClient.exe sind. Du musst also die ImageBase auf das Offset addieren, um die absolute Adresse zu bekommen.
Ok danke dir :)

Nur was ist die ImageBase? :D :S
12/02/2013 20:25 ​Tension#4
Du machst einen Doppelklick drauf ( dann solltest du im MemoryView landen ) und danach noch einen Doppelklick auf die Zeile wo das mit TClient.exe steht dann kommt die normale Adresse, davon ziehst du einfach das Offset ab ( z.B 0x481438 ) und dadurch bekommst du die BaseAddress. Die kannst du aber auch mit PEiD heraus finden, einfach reinziehen und neben Subsystem auf den Pfeil.
12/11/2013 08:26 Saedelaere*#5
Quote:
Originally Posted by Ten$ion View Post
Die kannst du aber auch mit PEiD heraus finden, einfach reinziehen und neben Subsystem auf den Pfeil.
Damit wäre ich vorsichtig, da die ImageBase im PE Header nur eine "Wunschadresse" ist. Dem Betriebssystem ist es theoretisch freigestellt, die PE Datei auch an eine andere Base zu mappen. Bei EXE passiert dies nicht, allerdings werden DLLs praktisch immer rebased (durch ASLR oder wenn die gewünschte Base Adresse schon von einer anderen DLL, etc. belegt ist).