Programm auslesen

.Scare™ · 06/22/2015, 15:18

Hallo leute,

Kurze frage. Ich habe einen alten Trainer gefunden mit dem ich mein Spiel manipulieren kann.

Nun die fragen, ist es möglich die kommunikation von diesen programm zum spiel auzufangen? Wen ja mit was?
Ich dachte so wie es wireshark macht, dies geht ja glaube ich aber nur mit lan wlan verbindungen.

Hoffe das da jemand etwas weis.

Besten dank schon mal

MrDami123 · 06/22/2015, 15:31

Es wäre meiner Meinung nach einfacher den Quellcode zu entschlüsseln als die Manipulation des Speichers zu rekonstruieren.
Versuche es mal hiermit:

Kenne mich in diesem Bereich aber sehr wenig aus.

Jeoni · 06/22/2015, 15:49

Kommt drauf an, wie das Programm geschrieben wurde. Nicht alles lässt sich so leicht dekompilieren. Notfalls führt diese Herangehensweise halt zum Disassembler, was aber natürlich auch geht.
Da könnte es durchaus mehr Sinn machen, wenn man ReadProcessMemory / WriteProcessMemory (oder die korrespondierenden System Calls) hookt und sich ansieht, was dort durchläuft. In dem Zusammenhang wäre die Benutzung eines Programms wie "API Monitor" sicherlich denkbar und empfehlenswert.
Ein weiterer Vorteil dieser Methode ist, dass man sich nicht durch eine etwaige Obfuscation durcharbeiten muss, die das Lesen des Dekompilats oder der Disassembler-Ausgabe erschwert.
Mit freundlichen Grüßen
Jeoni

.Scare™ · 06/22/2015, 15:58

Ah das ist eine gute idee solte es nicht in .net sein oder sollte ich es nicht decompiled bekommen. Apimonitor oder ollidbg würde in diesem falle auch gehen. Ich möchte ja nur wissen welchen wert er an welche adresse sendet.

Danke euch beiden

.Scare™ · 06/23/2015, 23:30

Quote:

Originally Posted by Jeoni

Kommt drauf an, wie das Programm geschrieben wurde. Nicht alles lässt sich so leicht dekompilieren. Notfalls führt diese Herangehensweise halt zum Disassembler, was aber natürlich auch geht.
Da könnte es durchaus mehr Sinn machen, wenn man ReadProcessMemory / WriteProcessMemory (oder die korrespondierenden System Calls) hookt und sich ansieht, was dort durchläuft. In dem Zusammenhang wäre die Benutzung eines Programms wie "API Monitor" sicherlich denkbar und empfehlenswert.
Ein weiterer Vorteil dieser Methode ist, dass man sich nicht durch eine etwaige Obfuscation durcharbeiten muss, die das Lesen des Dekompilats oder der Disassembler-Ausgabe erschwert.
Mit freundlichen Grüßen
Jeoni

Dank deiner AW habe ich es mal mit dem API Monitor versucht, finde das Programm sieht aus als würde es etwas taugen. vorausgesetzt man versteht es.

ich habe dir hier mal fix einen Screen den ich gemacht habe mit dem tool. ich habe den writeprocessmemory ausgelesen, kann damit aber nicht viel anfangen da ich den wert nicht sehe den es in die Adresse schreibt.
ev siehst du es, ich habe es nicht gesehen =)

Danke