Memory Dump

07/03/2007 00:02 Christoph_#1
Welche Software empfielt sich wenn ich unter Windows einen Memory Dump machen möchte ? Bisher hab ich das nie gebraucht*, brauche das aber nun und Google produziert leider nur Schrott (da 99% der links mit crashlogs zu tun haben).
07/03/2007 03:55 wiz#2
Wie jetzt? Vom gesamten Speicher? Von einem Programm? Von was genau?

Für Programme können das Icedump (SoftICE plugin), OllyDump (OllyDbg plugin) und LordPE glaub ich auch. Aber ohne mehr Informationen kann ich nicht mehr sagen.
07/03/2007 10:27 Christoph_#3
Von einem Programm. Mich interessieren die Files die es ins Memory lädt, da diese auf der Platte verschlüsselt sind.
07/03/2007 20:19 wiz#4
Erstmal kann es sein, dass je nach Dateigröße die gar nicht komplett im Speicher zu finden sind. Zweitens wirst Schwierigkeiten haben, in einem mehren Megabyte großen Dump zu finden, wo die überhaupt sind.

Viel besser wäre der Ansatz mit Debugger und nem selbstgeschriebenen Tool. Du suchst die Stelle wo die Datei geöffnet wird, bzw. wohin gelesen wird und dumpst dann mit dem eigenen Tool den Bereich. Noch besser ist, du schaust wo bzw. wie die Daten denn verschlüsselt werden, eventuell kannst du mit dem Wissen dann ganz ohne das Programm die Texte entschlüsseln.
07/04/2007 00:25 Christoph_#5
Für einen Anfänger (wenn es um sowas geht) ist das ev. nicht sehr ratsam, soweit ich rausgooglen konnte ist das mit Sealedmedia verschlüsselt.

Die Orginalfiles sind normale Unreal *.u package files, allerdings eben verschlüsselt. Da der Client aber auf 200+ mb aufbläht im Ram vermute ich schon, dass das meiste dort sein wird.
07/04/2007 01:30 wiz#6
Das klingt ja interessant, magst du mir mehr verraten, um was es geht und was du tun willst?

*.u-Dateien sind übrigens kompilierte UScript-Dateien, also Skripten in der Unreal-eigenen Scriptsprache. Die werden sicher nicht viel Speicher annehmen. Anders aber mit Texturen (.utx) und der gleichen.

*.u-Dateien lassen sich übrigens problemlos im Editor anschauen, wenn auch am Anfang und Ende bisschen "Datenmüll" (erkennt man halt nichts draus, sind Header usw.) ist, der komplette Quelltext in UScript sollte in Plaintext sichtbar sein!
07/04/2007 11:56 Christoph_#7
Der komplette kommentierte Code ist in den *.u dateien nur sichtbar wenn die Devs das drin gelassen haben. Hatte die Army z.b in den ersten Versionen von AAO. Muss eine Option im Editor sein.

Um den kompilierten Kram anzuhschauen gibts natürlich UTPT - das geht mit verschlüsstelten Datein aber nicht.

Worums geht schreibe ich dir heute abend per PM, muss erstmal nach Hause kommen -> oller Bahnstreik.