NOPs rückgängig machen?

arnibold · 10/17/2009, 14:03

Code:

#include <iostream>
#include <windows.h>

using namespace std;

BYTE test [3] = {0x90, 0x90, 0x90,};

int main()
{
        HWND window = NULL;
	while(window == NULL)
	{
			window = FindWindow(NULL, "Fenster");
			Sleep(500);
	}
	
	WriteProcessMemory(handle,(void*)(0x004687b1),&test,3,&puffer);
	
	return 0;
}

Wie kann ich die Adresse "004687b1", nach dem Ersetzen mit NOPs, wieder in ihren ursprünglichen Zustand bringen?

Das zu Ersetzende war übrigens "8b 91 cc"

MrSm!th · 10/17/2009, 14:05

Indem du die Bytes die vorher da standen zurück schreibst.
D.h. du liest den Speicher aus, speicherst den Wert überschreibst ihn mit 0x90 wie du das ja schon da oben hast, und danach überschreibst du ihn wieder mit dem gesicherten wert

wurstbrot123 · 10/17/2009, 14:06

indem du vorher an der Adresse 3 bytes ausliest ? :>
ReadProcessMemory....
aber nebenbei, wirst noch bemerken das dein Programm eh nicht funzt :>
Zumindest so wie dus gepostet hast, aber kann ja sein das du WPM nur als Beispiel hingepackt hast

arnibold · 10/17/2009, 14:07

Ist der ursprüngliche Wert einfach "8b 91 cc", oder müsste daran noch etwas verändert werden?

Quote:

Originally Posted by wurstbrot123

indem du vorher an der Adresse 3 bytes ausliest ? :>
ReadProcessMemory....
aber nebenbei, wirst noch bemerken das dein Programm eh nicht funzt :>
Zumindest so wie dus gepostet hast, aber kann ja sein das du WPM nur als Beispiel hingepackt hast

Ja das hab ich mir schon gedacht, wie wäre es denn richtig?
BYTE test [6] ...
oder ist die 3 da schon richtig? o.O

MrSm!th · 10/17/2009, 14:12

woher sollen wir das denn wissen? es kommt doch darauf an, was im programm steht
wir können auch nicht wisssen was der ursprüngliche wert ist, dazu müsstest du uns sagen, was an der adresse steht^^
edit: hups da stehts ja^^ ja klar ist der wert richtig; einfach mit dem dann wieder zurückersetzen
du könntest auch, falls der wert dynamisch ist, ihn mit ReadProcessMemory auslesen, aber wenn er immer so ist, dann reicht ein fester wert; also einfach nochmal WriteProcessMemory und diesesmal eben mit dem ursprünglichen wert

arnibold · 10/17/2009, 14:14

Ok, ich werde es mal ausprobieren

Achso nur mal so nebenbei:
Ist es möglich mit einer einfachen Console Tasten zu binden, d.h. drücke ich F8 wird WPM ausgeführt? ^_^

~~schlurmann~~ · 10/17/2009, 14:34

Quote:

Originally Posted by arnibold

Ok, ich werde es mal ausprobieren

Achso nur mal so nebenbei:
Ist es möglich mit einer einfachen Console Tasten zu binden, d.h. drücke ich F8 wird WPM ausgeführt? ^_^

CreateThread
GetAsyncKeyState

Bot_interesierter · 10/20/2009, 11:58

WindowHandle!=ProcessHandle
nur so ein Tipp am Rande

MrSm!th · 10/20/2009, 14:38

warum kommst du denn damit? er hat doch nirgendwo hWnd mit handle gleichgesetzt im code^^
er hat den HANDLE handle nicht mal definiert

Bot_interesierter · 10/21/2009, 13:34

Quote:

Originally Posted by MrSm!th

warum kommst du denn damit? er hat doch nirgendwo hWnd mit handle gleichgesetzt im code^^
er hat den HANDLE handle nicht mal definiert

my bad, ich dachte er hätte das Ergebnis von FindWindow dort gespeichert, habe den Code nur überflogen und ein FindWindow call + WriteProcessMemory sieht immer verdächtig aus, vor allem wen nirgends ein Process Handle geholt wird

Adroxxx · 10/21/2009, 13:47

PHP Code:


			
void CGodsWarMultihackDlg::m_ZoomOn(void)

{        



        hWnd = FindWindowExW(NULL,NULL,NULL,_T("Game.exe"))

        

    unsigned long lzBase = 0x0043BA02;



    BYTE bZoomOn[2]={ 0xEB, 0x34};

    

    DWORD numBytesRead;

    HANDLE hProc;

    DWORD procID;



    

    GetWindowThreadProcessId(hWnd,&procID);

    hProc = OpenProcess(PROCESS_ALL_ACCESS, FALSE, procID);

    WriteProcessMemory(hProc,(LPVOID)lzBase,&bZoomOn,2,NULL);

    

    CloseHandle(hProc);

}

Wenn du es wieder Rückgängig machen willst, machst du einfach eine zweite Variable

PHP Code:


			
BYTE bZoomOff[2]={ 0x75, 0x34};

Und schreibst diese an die Adresse.