"Niespodziewanka" w WinApi :O

[Phoenix_PL]

Cześć.

 

Przeglądając sobie listę funkcji WinApi.au3 natknąłem się na ciekawostkę.

_WinAPI_WriteProcessMemory
Writes memory in a specified process


#include <WinAPI.au3>
_WinAPI_WriteProcessMemory($hProcess, $pBaseAddress, $pBuffer, $iSize, ByRef $iWritten [, $sBuffer = "ptr"])

 

_WinAPI_ReadProcessMemory
Reads memory in a specified process


#include <WinAPI.au3>
_WinAPI_ReadProcessMemory($hProcess, $pBaseAddress, $pBuffer, $iSize, ByRef $iRead)

 

I mam tylko pytanko - Tym można edytować pamięć po pointerach od Cheat Engine na przykład ?

Bo to by było cudnie ^_^

 

I jeszcze jakby ktoś mógł dać pod to przykład, to już wogóle, lajki się posypią...

 

/i jeszcze jedno pytanie - czy to służy do tego do czego ja myślę, czyli na przykład do injectowania dll-ek do procesu?

Co prawda nie sądzę, jest tu tylko parametr do nazwy pliku .dll/.exe, ale zapytać wolno...

 

_WinAPI_LoadLibrary
Maps a specified executable module into the address space of the calling process


#include <WinAPI.au3>
_WinAPI_LoadLibrary($sFileName)

[M4niak]

A czemu nie można?

Jeśli znasz adres bazowy i wiesz jak to zrobić poprawnie to wszystko się da..

[Phoenix_PL]

@up mówisz o injectowaniu?

No właśnie nie wiem czy tą funkcją się da, ani jak to zrobić...

 

//próbowałem, gmerałem ale nic mi z tego nie wychodziło :/

//Kij, używam Nomada... on działa..

[4ggr35510n]

Nomad korzysta z tych samych funkcji.

 

To są autoitowe wrappery dla WinApi, więcej o _WinApi_xyz będziesz miał w googlach

"xyz site:msdn.microsoft.com"

 

Polecam generalnie przegląd źródła każdego UDFa z którego korzystasz.

 

LoadLibrary istotnie jest używane przy iniekcjach dll korzystających z CreateRemoteThread ( http://www.codeproje...roces#section_2 ).

Nie ma sensu bawić się w to w autoicie. Żadnego.

[Phoenix_PL]

Dobra, dzięki za info.

Po poczytaniu trochę artykułów zorientowałem się że to jeden kij, korzysta z tej samej funkcji w tej samej DLL-ce :P

 

//Można zamknąć