Ich bräuchte eure Hilfe.
Also ich habe eine DLL die einen anderen Prozess scannt auf Veränderungen in der Memory. Aber ich möchte diese Scanfunktion von der DLL abschalten.

Problem dabei ist, dass sich wahrscheinlich die DLL selbst auf Veränderungen scannt.

Also ich habe das Offset der DLL und müsste sie damit irgendwie abschalten. Einfach zu noppen geht leider nicht, damit die Scanfunktion gar nicht aufgerufen wird, darum muss ich was anderes machen.

Jemand der das schon kann, hat gesagt man müsste hooken. Nur das Problem ist, ich hab wirklich noch nie mit hooking gearbeitet, von daher fällt mir das ziemlich schwer

MSDN und Google haben mir bis jetzt nicht gerade viel geholfen, darum wende ich mich an euch...

Achja, habe schon was zu der DLL gefragt (http://www.c-plusplus.net/forum/viewtopic-var-t-is-231099.html), aber das Problem hat sich schon erledigt, da ich ja jetzt das Offset habe.

Wäre super wenn mich jemand privat unterstützen könnte oder auch hier im Forum (lieber wäre es mir privat). Natürlich gibt es dafür auch eine Belohung in Geldform, wenn ich, bzw der Helfende es schafft

Schonmal danke im Voraus

Wer fragen zur DLL hat, bitte stellen, ich versuche sie zu beantworten

Mfg

ich welches forum soll ich diesen thread verschieben?

Hi
Ist die Antwort "Ich" auf "kleine private hilfe" gedacht? wenn ja wäre es wohl am besten in einen privaten chat zu gehen oder vielleicht einen instant messanger zu benutzen wie z.B. ICQ oder MSN.

Und das mit dem verschieben versteh ich nicht ganz, sollte doch in der richtigen Sektion sein oder?

Naja schonmal danke für deine Antwort

auf http://www.c-plusplus.net/forum/index-var-.html siehst du zu jedem forum eine kleine beschreibung. welche ist wohl die, die am besten zu deinem problem paßt?

war ein tippfehler.
in welches forum soll ich diesen thread verschieben?

auf http://www.c-plusplus.net/forum/index-var-.html siehst du zu jedem forum eine kleine beschreibung. welche ist wohl die, die am besten zu deinem problem paßt?

Darf ich mitspielen? *jaah* Dies hier vielleicht: http://www.c-plusplus.net/forum/viewforum-var-f-is-4.html ? Man volkard, jetzt stell den Jungen doch nicht vor solche Rätsel.

Darf ich mitspielen? *jaah*

ohja, gerne.

issen1 schrieb:

Dies hier vielleicht: http://www.c-plusplus.net/forum/viewforum-var-f-is-4.html ?

danke.

Im Zweifelsfall bitte auch folgende Hinweise beachten:
C/C++ Forum :: FAQ - Sonstiges :: Wohin mit meiner Frage?

Dieses Posting wurde automatisch erzeugt.

bitte das Thema verschieben*

Und bitte noch um Hilfe für mein Anliegen

Darum frage ich auch ob mir jemand etwas unterstützung geben könnte. Nunja da hab ich mich mal hier wieder getäuscht

Nunja ich sagte ja, wer fragen hat soll sie stellen, ich versuche sie zu beantworten...

Vorallem wer sagt hier irgendetwas von "cheat zeugs"?

Und einen Sourcecode möchte ich auch nicht "hingeklatscht haben", sondern am besten ne kleine Erklärung wie ich am besten Anfangen kann, eine Funktion/DLL zu hooken.

z.B. Was genau passiert beim hooken?
wie könnte ich am besten Anfangen zu hooken, was bräuchte ich dazu? (DLL Name, Offset, Base, was auch immer)

Ich möchte eben gerne den Einstieg wissen.

Achja wenn du mich weiter angehen willst, kann ich auf DEINE Hilfe gerne verzichten!

was wäre denn am besten um eine ganze funktion in einer dll, bzw die ganze dll zu hooken? ich habe durch MSDN SetWindowsHookEx Function gefunden, doch ich glaube da bin ich ganz falsch

ps @mods, ich bin dafür threads zum thema hooking zukünftig kommentarlos zu schließen. die nerven nur ab.

was wäre denn am besten um eine ganze funktion in einer dll, bzw die ganze dll zu hooken?

Falscher Ansatz wenn Du sie nur wirkungslos machen willst. Wird die DLL in jeden laufenden Prozess geladen ?

Bruwcold schrieb:

was wäre denn am besten um eine ganze funktion in einer dll, bzw die ganze dll zu hooken?

Falscher Ansatz wenn Du sie nur wirkungslos machen willst. Wird die DLL in jeden laufenden Prozess geladen ?

Sie wird nur in einen Prozess geladen.

Randeolf halt dich bitte jetzt von dem Thema raus, denn deine unnötigen Kommentare kannst du dir wirklich sparen

Sie wird nur in einen Prozess geladen.

Ach so. Gehört die DLL zu dem Programm? Wenn ja, dann braucht nichts gehookt zu werden.
Dann reicht es meistens, den Rückgabewert der "Scanfunktion" zu manipulieren.

Randeolf schrieb:

ps @mods, ich bin dafür threads zum thema hooking zukünftig kommentarlos zu schließen. die nerven nur ab.

ahahahahaha!

Davon abgesehen gibt es mehrere Möglichkeiten etwas zu hooken. Eine der üblichen ist es die ersten paar Byte der Funktion woandershin zu "kopieren" (was sich einfach anhört, aber sehr schwer ist, da man diese ersten paar Byte oft noch modifizieren muss -- je nachdem was für Befehle da stehen) und dann zu überschreiben. Ist aber sehr komplex. Eine andere wäre die Importe rauszusuchen, und dann alle Adressen die auf die eine Funktion verweisen zu überschreiben.

Da du aber nicht so der erfahrene Windows-System-Programmierer zu sein scheinst behaupte ich einfach mal dass du das sowieso nicht hinbekommst -- ist nämlich wie gesagt nicht so einfach. Vor allem wenn der Prozess bzw. die DLL gerade solche Veränderungen verhindern möchten.

Gibt es ein Beispiel um den Rückgabewert zu manipulieren? Dafür bräuchte ich ja auch die zugehörige Adresse, wo es wieder ein Problem gibt sie zu finden oder?

Vielen dank für deine Hilfe

Es ist eben schwer zu erklären. Ich möchte Verhindern, das die DLL in meinem eigenen Prozess etwas sucht. War sowas ähnliches wie ne Wette mit einem Kollegen, dass ich sein Programm nicht modifizieren kann. Und er hat eine DLL (ich weiß nicht ob selbst gemacht oder irgendwoher bekommen wenn es sowas zum downloaden gibt), die in seinen Prozess nach veränderungen sucht.

Achja, ich versteh nicht ganz was ihr alle mit Cheat-Zeugs habt....

Achja, ich versteh nicht ganz was ihr alle mit Cheat-Zeugs habt....

weil viele (multiplayer-)spiele eben solche speicherüberwachenden tools haben

Bruwcold. schrieb:

Ich möchte Verhindern, das die DLL in meinem eigenen Prozess etwas sucht.

woher weiß die DLL denn, das dein prozess gestartet wurde, und welche zurgiffs-
rechte hat sie auf dein prozess? wenn die PROCESS_ALL_ACCESS hat, dann gn8.

weißt du ebenfalls wann der andere prozess gestartet wird? und welche zugriffs-
rechte hast du auf den anderen prozess?

solltest du ein vollzugriffs-handle auf den prozess haben,
sollte das möglich sein.

du holst dir die addressen von LoadLibrary und GetProcAddress
schreibst die addressen, den namen der datei und der zu hookenden funktion
(char[256]), sowie deine hookfunktion in den prozess mit VirtualAlloxEx und
WriteProcessMemory. dann erstellst du einen remote-thread und gibst als
parameter den speicherbereich.

wenn das klappt haste fast schon gewonnen.

die hookfunktion muss "nurnoch" die datei laden und die addresse holen.
die ersten paar bytes überschreiben mit den opcode für z.b.
mov eax, [rückgabewert] ret [größe der parameter]

die größe der parameter bekommst durch einen debugger der die funktionsnamen
dekoriert z.b. _v8TuDiesUndDas@16vE <- 16 !!

Sorry hab deinen anderen Beitrag nicht gesehen..

Es ist eben schwer zu erklären. Ich möchte Verhindern, das die DLL in meinem eigenen Prozess etwas sucht. War sowas ähnliches wie ne Wette mit einem Kollegen, dass ich sein Programm nicht modifizieren kann. Und er hat eine DLL (ich weiß nicht ob selbst gemacht oder irgendwoher bekommen wenn es sowas zum downloaden gibt), die in seinen Prozess nach veränderungen sucht.

Achja, ich versteh nicht ganz was ihr alle mit Cheat-Zeugs habt....

Dann nehme einfach ein Tool so wie dieses, damit siehst Du wer an Deiner DLL horcht

http://www.nirsoft.net/utils/injected_dll.html

EDIT : Dort findest Du auch noch weitere Programme die einige Deiner Fragen beantworten !?