External FindPattern liefert -1

-DarkPuma- · 09/16/2012, 15:39

Hallo E*PVP

Das Programm liefert immer -1 zurück. Die Sig stimmt (per DLL geht es),
aber extern will es nicht ganz. Kann mir einer erklären warum er fehlschlägt?
Habe es auch mit SetDebugPrivileges() probiert.
Danke im vorraus. Gruß, Tom

Spoiler

Code:

// INCLUDES //
#include <iostream>
#include <Windows.h>

// NAMESPACE //
using namespace std;


// Debug permissions
bool SetDebugPrivileges()
{
        HANDLE hToken;
        TOKEN_PRIVILEGES tokenPriv;
        tokenPriv.PrivilegeCount = 1;
 
        if(!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hToken))
                return false;
 
        if(!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &tokenPriv.Privileges[0].Luid))
                return false;
        tokenPriv.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
 
        if(!AdjustTokenPrivileges(hToken, false, &tokenPriv, sizeof(TOKEN_PRIVILEGES), NULL, NULL))
                return false;
        return true;
}



// Credits to Patrick, Dominik, Wav, GD and UC
bool VerifyAddress( HANDLE hProcess, DWORD dwAddress, PBYTE bMask, char *szMask )
{
    PBYTE *pTemp = { 0 };

    for ( int i = 0; *szMask; ++szMask, ++bMask, ++i )
    {
        if ( !ReadProcessMemory( hProcess, reinterpret_cast<LPCVOID>(dwAddress + i), &pTemp, 2048, 0 ) )
            return false;

        if ( *szMask == 'x' && reinterpret_cast<char*>(pTemp) != reinterpret_cast<char*>(*bMask))
            return false;
    }

    return true;
}

DWORD ForzaExternalFindPattern( HANDLE hProcess, PBYTE bMask, char *szMask )
{
    for ( DWORD dwCurrentAddress = 0x401000; dwCurrentAddress < 0x196000; dwCurrentAddress++ )
        if ( VerifyAddress( hProcess, dwCurrentAddress, bMask, szMask ) )
            return (unsigned long)dwCurrentAddress;

    return -1;
}


// MAIN FUNCTION //
int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow)
{

	// set permissions
	// SetDebugPrivileges ();

	// vars
    HANDLE hProcess;
    DWORD pID; HWND hWnd;
	unsigned long Address; char buffer [255];

    hWnd = FindWindow(NULL, "ByteShooter");
	GetWindowThreadProcessId(hWnd, &pID);
	hProcess = OpenProcess(PROCESS_ALL_ACCESS, false, pID);
	Address = ForzaExternalFindPattern (hProcess, (PBYTE)"\x4E\x4F\x52\x45\x41\x44\x00\x00", "xxxxxxxx");
	
	sprintf (buffer, "%ld",  Address);
	MessageBoxA (NULL, buffer ,"", MB_OK);
	
	// END OF APP
	return 0;
}

MrSm!th · 09/16/2012, 18:12

1. ReadProcessMemory für jedes einzelne Byte? Das wird lahm. Mach es am besten wie CheatEngine und kopiere dir einen Block Speicher in deinen eigenen Address Space und suche darin dann lokal.

2.

Quote:

for ( DWORD dwCurrentAddress = 0x401000; dwCurrentAddress < 0x196000; dwCurrentAddress++ )

Sicher, dass du das willst?
0x196000 soll doch sicher die Größe/Länge sein und nicht die End-Adresse.
Du machst aber mit dieser For-Schleife genau das: Du fängst bei 0x401000 an und erhöhst den wert solange, bis er 0x196000 erreicht. Wenn du mal genau hinschaust, wirst du sehen, dass der erste Wert größer als der zweite ist, d.h. die For-Schleife wird nicht einmal ausgeführt, weil die Bedingung sofort falsch ist. Daher der return Wert -1.

-DarkPuma- · 09/16/2012, 21:01

So hab das Problem jetzt gelöst. Wie du schon sagtest lag es an der For-Schleife!
Sie soll ich das lokal suchen bzw. wie meinst du das mit einem Block "Speicher"?
Nach welchen Funktionen sollte ich dann suchen?
Danke, Tom.

Dr. Coxxy · 09/16/2012, 21:50

wie ich dir schon auf osh auf eine etwas unfreundlichere art gesagt habe, lern coden und hör auf blind zu copypasten.

byteweise mit rpm auszulesen ist einfach nur hirnriss.

Smith hat dir alles schon gesagt, was ein logisch denkender mensch (was du offensichtlich nicht bist) braucht um das ganze zu optimieren.

lies entweder pageweise oder direkt die ganze codesection aus, und scan die dann in deinem lokalen memory.