Access Violation unterdrücken

[SleiZer]

Hallo,
ich bin grad dabei einen Hex Dupe zuschreiben mit Ansi-C
Mein Problem ist es wenn ich versuche nicht nur Datein auszulesen, sondern z.B. den Arbeitsspeicher.

Ich hab schon Programme gefunden die sowas können z.B. Winhex, aber ich würde gerne wissen wie man sowas umgeht, sodass man keinen Access Violation erhält.

Hoffe auf Antwort
grüße!

[blackberry]

Ich gehe jetzt mal davon aus, dass du einen virtuellen Speicherbereich auslesen möchtest und nicht den physikalischen Speicher (für diesen würdest du erhöhte Rechte benötigen - dh. einen eigenen Treiber oÄ.).

Um sicherzustellen, dass ein Fehler abgefangen wird und nicht das Programm beendet sollte try-catch ausreichen.

Bei mir hat das jedoch nicht funktioniert (Bug in MinGW??), also habe ich kurzerhand meinen eigenen Exception-Handler geschrieben (deshalb hat meine Antwort auch so lange gedauert, sorry):

Code:

#include <iostream>

#define _TRY                            \
    asm(                                \
        "pushl $_catch;"                \
        "pushl %fs:(0);"                \
        "movl %esp, %fs:(0);"            \
        "_try:"                            \
        "pusha;"                        \
    );
#define _CATCH                            \
    asm(                                \
        "jmp _endtry;"                    \
        "_catch:;"                        \
        "pusha;"                        \
    );
#define _ENDTRY                            \
    asm(                                \
        "popa;"                            \
        "movl 12(%esp), %eax;"            \
        "movl $_endtry, 0xB8(%eax);"    \
        "xorl %eax, %eax;"                \
        "ret;"                            \
        "_endtry:;"                        \
        "popl %fs:(0);"                    \
        "addl $4, %esp;"                \
    );


int main(void)
{
    int *i;
    int val;
    
    std::cout << "Ich bin ein C++ Programm mit eigenem Exception Handler!\n\n";

    _TRY // TRY BLOCK
    {
        std::cout << "   _TRY: Let's go!\n";
        i = 0;
        val = *i; // auskommentieren um den Fehler zu beheben!
        std::cout << "Addr[" << i << "] ist: " << val << "\n";
    }
    _CATCH // CATCH BLOCK
    {
        std::cout << " _CATCH: Es ist ein Fehler aufgetreten... ich frag mich nur warum? xD\n";
    }
    _ENDTRY
    std::cout << "_ENDTRY: Try beendet... Druecken Sie ENTER um fortzufahren!\n";
    
    std::cin.get();
    return 0;
}

In diesem Beispiel wird versucht Daten von der Speicheradresse 0 auszulesen (was verständlicherweise zu einem Fehler führt).
Dieser wird von dem _CATCH-Block abgefangen - hier könnte z.B. die Variable die du einlesen wolltest auf 0 gesetzt werden um zu indizieren, dass ihr Wert unbestimmt ist!
Nach _ENDTRY kommt der Code, der in beiden Fällen ausgeführt werden soll. (also egal ob ein Fehler auftrat, oder nicht)

Ich hoffe das hilft dir weiter

PS: die { }-Klammern sind nicht nötig, ich habe sie jedoch eingefügt um den Code übersichtlich zu halten!


mfG. BlackBerry

[SleiZer]

Blick ich nicht ganz durch der Wille zu Kommentieren war da

Leider bin ich nur richtig in Ansi-C geschult und verstehe nur die Hälfte von dem was du mir geschrieben hast.

Ich hatte mir das so vorgestellt, dass ich damit den Speicher anderer Programme einlesen kann. Ich hab mir das so gedacht, dass wenn ich über den Access Bereich des Programmes rüber komme ich im nächsten Programm lande. Seh ich das falsch?

danke für deine Antwort

[blackberry]

Code:

#include <stdio.h>

#define ADDR_START 0x400000
#define ADDR_END   0x401000

#define _TRY                            \
    asm(                                \
        "pushl $_catch;"                \
        "pushl %fs:(0);"                \
        "movl %esp, %fs:(0);"            \
        "_try:"                            \
        "pusha;"                        \
    );
#define _CATCH                            \
    asm(                                \
        "jmp _endtry;"                    \
        "_catch:;"                        \
        "pusha;"                        \
    );
#define _ENDTRY                            \
    asm(                                \
        "popa;"                            \
        "movl 12(%esp), %eax;"            \
        "movl $_endtry, 0xB8(%eax);"    \
        "xorl %eax, %eax;"                \
        "ret;"                            \
        "_endtry:;"                        \
        "popl %fs:(0);"                    \
        "addl $4, %esp;"                \
    );

int main(void)
{
    unsigned char chr;
    int addr;
    
    for(addr = ADDR_START; addr < ADDR_END; addr++)
    {
        _TRY
        {
            chr = *((unsigned char *) addr);
            printf("%.02X ", chr);
        }
        _CATCH
        {
            printf("-- ");
        }
        _ENDTRY
    }
    
    getc(stdin);
    return 0;
}

Klappt doch.
Syntaktisch: Ansi-C.
Inhaltlich: W32 gebunden.

[SleiZer]

gibt mir 3 Errors...

Assembler: Label expected in function 'main';
Duplicate label 'asm' in function 'main';
Duplicate label 'asm' in function 'main';

welchen compiler benutzt du, stellt sich meiner einfach nur an?

[EBFE]

Ich hatte mir das so vorgestellt, dass ich damit den Speicher anderer Programme einlesen kann. Ich hab mir das so gedacht, dass wenn ich über den Access Bereich des Programmes rüber komme ich im nächsten Programm lande. Seh ich das falsch?

Das wäre das Prinzip von DOS .

In modernen Betriebssystemen hat jeder Prozess einen eigenen virtuellen Speicherbereich : http://de.wikipedia.org/wiki/Virtuel...cherverwaltung
kurz gesagt: das Programm kann auf den gesamten Speicher (theoretisch auf 32-Bit Rechnern auf 4GB, praktisch ist es durch OS interna auf 2-3 GB begrenzt) zugreifen, ohne einem anderen in die Quere zu kommen - die Umrechnung zwischen virtuellem und physikalischen wird durch MMU (memory managment unit) und OS bewerkstelligt und davon bekommt das Programm nichts mit.

Um auf den Speicher anderer Programme zuzugreifen muss man entwerder selbst in den "niedrigsten" Modus Ring0 wechseln oder sich mit Betriebssystemfunktionen behelfen. Unter Windows wären das OpenProcess und ReadProcessMemory.

Um gezielt den kompletten Speicher lesen und darstellen zu können, muss man natürlich vorher auch ein paar Details über den Process herausfinden:
GetSystemInfo - damit bekommt man
lpMinimumApplicationAddress und lpMaximumApplicationAddress heraus und dann VirtualQueryEx auf die niedrigste Adresse - liefert einen

Code:

typedef struct _MEMORY_BASIC_INFORMATION {
  PVOID  BaseAddress;
  PVOID  AllocationBase;
  DWORD  AllocationProtect;
  SIZE_T RegionSize;
  DWORD  State;
  DWORD  Protect;
  DWORD  Type;}

Es gibt da 3 Typen eines Speicherbereichs: commited, reserviert und frei. Die freien Bereiche kann man nicht mit ReadProcessMemory einlesen .
RegionSize sagt dann aus, wie groß der Block ist und damit lässt sich auch berechnen, wo der nächste Block liegt: BaseAddress + REgionSize. Bei dem nächsten Block führt man wieder VirtualQueryEx aus und kann sich so durch den ganzen Programmspeichern hangeln und diesen Anzeigen.

[blackberry]

welchen compiler benutzt du, stellt sich meiner einfach nur an?

Bei mir compiliert das unter MinGW32.

[SleiZer]

OpenProcess und ReadProcessMemory

scheinen mir Funktionen von c++ zusein, eigentlich hatte ich nicht vor
in c++ einzusteigen aber mir scheint es als hätte ich keine andere Wahl, oder
gibt es vergleichbares in Ansi-C?

Wenn ich es richtig verstehe, kann man von einem Prozess die Startaddresse des reservierten Speichers auslesen und die Größe viel Speicher Reserviert wurde, und dahinter fängt der nächste Prozess an?

Bei mir compiliert das unter MinGW32.

Ich schau mir den auch mal an, ich gammel hier noch mit einem einfachen C Compiler rum.

[blackberry]

Die WinAPI ist nicht notwendigerweise C++.
Versuch mal windows.h zu inkludieren.

Wenn der Header nicht vorhanden sein sollte musst du dir deine Prototypen eben selbst schreiben.

Für ReadProcessMemory lautet dieser wie folgt: ( http://msdn.microsoft.com/en-us/libr...8VS.85%29.aspx )

Code:

BOOL WINAPI ReadProcessMemory(
  __in   HANDLE hProcess,
  __in   LPCVOID lpBaseAddress,
  __out  LPVOID lpBuffer,
  __in   SIZE_T nSize,
  __out  SIZE_T *lpNumberOfBytesRead
);

Mit nativen Datentypen sollte das wie folgt lauten: (aus dem Gedächtnis übersetzt - muss nicht stimmen)

Code:

int __stdcall ReadProcessMemory(
  void *hProcess,
  void *lpBaseAddress,
  void *lpBuffer,
  unsigned int nSize,
  unsigned int *lpNumberOfBytesRead
);

[EBFE]

scheinen mir Funktionen von c++ zusein, eigentlich

siehe BlackBerry - das sind Betriebssystemfunktionen (WinAPIs). Denn Prozessmanipulation ist Betriebssystemabhängig, man muss also die Schnittstellen/Funktionen nutzen, die das OS bietet - da bringt dich ANSI leider nicht weiter

Wenn ich es richtig verstehe, kann man von einem Prozess die Startaddresse des reservierten Speichers auslesen und die Größe viel Speicher Reserviert wurde, und dahinter fängt der nächste Prozess an?

Nope. Eventuell bringt dich das weiter: http://msdn.microsoft.com/en-us/library/ms810616.aspx
Jeder Prozess hat 4 GB linear adressiertbaren eigenen Speicher, den er quasi nach belieben verändern kann,ohne dass er dabei System oder andere Programme gefährdet (nur sich selbst ). Mit OpenProcess bekommst du ein Handle zu einem Prozess und alles was du ausließt, gehört nur zu diesem. Wenn du alle Prozesse auslesen möchtest (oder dem user eine Liste anbieten) musst du erstmal vom Betriebssystem eine solche Liste anfordern:
zuerst ein CreateToolhelp32Snapshot mit dem Parameter TH32CS_SNAPPROCESS. Dann kannst du die Rückgabe mit Process32First und Process32Next durchgehen und bekommst alle Infos zu dem Prozess geliefert:
http://msdn.microsoft.com/en-us/libr...89(VS.85).aspx (createToolhelp)
http://msdn.microsoft.com/en-us/libr...34(VS.85).aspx (Prozess32First)
http://msdn.microsoft.com/en-us/libr...39(VS.85).aspx (Processentry Struktur)

Code:

typedef struct tagPROCESSENTRY32 { 
    DWORD dwSize; 
    DWORD cntUsage; 
    DWORD th32ProcessID; 
    DWORD th32DefaultHeapID; 
    DWORD th32ModuleID; 
    DWORD cntThreads; 
    DWORD th32ParentProcessID; 
    LONG  pcPriClassBase; 
    DWORD dwFlags; 
    char szExeFile[MAX_PATH]; 
} PROCESSENTRY32; 
typedef PROCESSENTRY32 *  PPROCESSENTRY32; 
typedef PROCESSENTRY32 *  LPPROCESSENTRY32;

Hier ist ein Beispiel in C
http://www.google.com/codesearch/p?h...process%20list