Discussion :

[Piano]

Lu,

Je souhaiterais à titre d'exercice réussir à connaitre la valeur d'une variable depuis le programme A sur le programme B:

* programme A défini la variable 'abc = 13654;'
* programme B fait un jump mémoire (c'est bien ça ?) sur la zone mémoire du programme B et détermine la valeur de la variable 'abc' (=13654)

Je sais évidement que Windows empêche ce genre de choses ! (logique, on est en mode protegé...) mais je suppose aussi qu'il doit bien y avoir une méhode de procéder puisque je sais que KAV à réussi à le faire dans leurs labos.

L'utilisation de drivers kernel (et donc de l'api win32) ne me dérange pas, ça ne doit pas spécialement être portable.

Merci

[Jedai]

Je sais faire ça en Perl avec Win32::Process::Memory, je suppose qu'en lisant les sources (la partie en C) tu trouveras ce qui t'intéresse.

--
Jedaï

[Neitsa]

Bonjour,

Comme le dit justement Jedai il faut bien utiliser ReadProcessMemory() [lien MSDN], le tout étant d'avoir l'adresse de la variable (et c'est là que ça se complique) :


Dans un premier temps, pour avoir l'adresse de la variable, il faut utiliser un désassembleur si le programme est compilé en natif,ce qui implique de connaître un minimum d'asm.

Si le langage est interprété (type python, etc.) ou fonctionne via un moteur d'exécution (langage .NET, Java, etc.) là il faudra débugger le moteur en train d'exécuter le programme...

Un autre complication intervient si la variable est locale à une fonction :

Code C :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
 
include <stdio.h>
 
/* variable globale */
int var_glob = 42;
 
int another_func(void);
 
int main (void)
{
     another_func();
 
     /* suite du prog */
 
     return 0;
}
 
int another_func(void)
{
     /* variable locale à la fonction */
     int var_loc = 0;
 
     /* suite de la fonction */
 
     return 0;
}

La variable globale (var_glob) sera "facilement" lisible puisque sa durée de vie équivaut à celle du programme et son adresse restera constante.

La variable locale (var_loc) à la fonction another_func aura une durée plus courte que la variable globale et sera en plus placée sur la pile du programme.

Pour pouvoir la lire depuis un autre programme il faudra :

1) débugger programme pour voir l'adresse de la variable sur la pile (en espérant qu'il n'y ai pas de randomisation de l'adresse de base de la pile, sinon ça se complique encore).

2) Implémenter un débuggeur basique.

3) Poser un point d'arrêt sur la fonction another_func à l'endroit précis où l'on veut la valeur de la variable locale.

4) Lire la valeur et relancer le programme (ou s'en détacher).

Bref, c'est faisable mais pas si simple que ça.

[Piano]

Ouha, bah merci beaucoup

Mais juste une dernière question:
Si je veux pouvoir automatiser cela, es-ce possible ?

Car le but était de pouvoir l'implenter sur mon AV pour pouvoir avoir une analyse heuristique plus puissante.
Donc, est-ce faisable "en automatique" ou bien doit-on presque obligatoirement récupérer certaines infos "à la main" ?

Merci =)

[Mat.M]

Je sais évidement que Windows empêche ce genre de choses ! (logique, on est en mode protegé...) mais je suppose aussi qu'il doit bien y avoir une méhode de procéder puisque je sais que KAV à réussi à le faire dans leurs labos.

qu'est ce que le mode protégé vient faire la dedans ?? Il ya grosse confusion .
En programmation Windows on n'y touche pas les API de Windows proposent des fonctions comme celles données par Neitsa ; sinon il faut créer des sortes de Pipes entre processus faire une recherche dans le MSDN ou sur ce forum cela a déjà été abordé

[Mat.M]

Donc, est-ce faisable "en automatique" ou bien doit-on presque obligatoirement récupérer certaines infos "à la main" ?

Merci =)

je ne comprends pas pourquoi tu veux faire cela automatique ?

[Piano]

Enfait je cherche à pouvoir faire comme un SandBox, mais ce n'est évidement pas simple alors je me suis dit, peut être que si j'execute le programme dans la même zone mémoire que mon executable, je pourrai réussir à le "contrôler" ?

Merci et oui il y a confusion, je ne suis pas encore tout à fait au point dans ce domaine =)

[Mat.M]

Enfait je cherche à pouvoir faire comme un SandBox, mais ce n'est évidement pas simple alors je me suis dit, peut être que si j'execute le programme dans la même zone mémoire que mon executable, je pourrai réussir à le "contrôler" ?

Merci et oui il y a confusion, je ne suis pas encore tout à fait au point dans ce domaine =)

? Aie aie il y a vraiment confusion totale.
Tu as posté dans le forum programmation Windows hors c'est pas la programmation Ms Dos.
En général les exe sont logés en mémoire à l'adresse 0x40000 si je ne me trompe pas.
Après l'OS selon les besoins peut déplacer le programme logé en mémoire
Je conseille vivement de consulter le MSDN.
Mais toute la programmation ASM et ms-dos il faut radicalement mettre cela de côté.

C'est pour un anti virus ? Il faut faire de préférence un service Windows qui sera lancé automatiquement.
Merci d'être explicite en bon français

[Piano]

Merci pour la réponse, oui c'est pour un antivirus déja en développement.

Pour créer la base du service c'est ok, mais pour faire le SandBox (donc le contenu du service) je suis un peu planté.
Il n'y a vraiment pas beaucoup d'informations sur cela.

Tu as posté dans le forum programmation Windows hors c'est pas la programmation Ms Dos.

Mais toute la programmation ASM et ms-dos il faut radicalement mettre cela de côté.

Euh?