Анализ дампа памяти памяти в реальном времени

[Debian]

Привет!
Есть такого рода проблема:

Есть программа надо читать значение некоторых переменных в процессе ее работы и выводить на экран
программа лицензионная так что ломать ее не надо

вопрос: с помощью какой программы можно правильно выудить адреса переменных в ОЗУ?

[Svyrydov]

Цитата:

Сообщение от Debian

Привет!
Есть такого рода проблема:

Есть программа надо читать значение некоторых переменных в процессе ее работы и выводить на экран
программа лицензионная так что ломать ее не надо

вопрос: с помощью какой программы можно правильно выудить адреса переменных в ОЗУ?

подобные вещи когда то делал SoftIce - это отладчик реального времени.

[Debian]

айс знаю...
проблема в том, что он не поддерживается нормально

есть альтернативы?

дамп памяти в реальном времени, само по себе выражение неправильное, как и то, что софтайс - отладчик реального времени. Отладчиков будущего прошлого и реального не бывает ). Дамп это копия памяти в файле, а софтайс - отладчик режима ядра. Если программа юзермодная, то и юзермодного отладчика будет думаю достаточно. Есть ollydbg, но я бы использовал windbg. Про переменные надо подробнее, тогда что-то можно будет сказать.

[Svyrydov]

Цитата:

Сообщение от незарегистрированный

...как и то, что софтайс - отладчик реального времени. Отладчиков будущего прошлого и реального не бывает ). ...

ха ха, не смеши
"реальное время" имеется ввиду принцип работы системы а не время когда это делается

Я стоп на какое либо прерывание в работающей программе поставлю - система остановится в нужном месте в нужный момент
и я буду смотреть что именно происходит в этот момент времени с памятью - и ты хочешь сказать что это не то что Debian ищет?

[ms-rem]

Цитата:

Сообщение от Svyrydov

"реальное время" имеется ввиду принцип работы системы

а ну ж ка расскажи про принцип работы системы реального времени, просвети так сказать.

Цитата:

Сообщение от Svyrydov

Я стоп на какое либо прерывание в работающей программе поставлю - система остановится в нужном месте в нужный момент
и я буду смотреть что именно происходит в этот момент времени с памятью

то есть согласно выделенных слов ты думаешь, что софтайс отладчик реального времени. ок. покажи мне отладчик, который будет останавливать выполнение программы не в нужный(в этот) момент времени.

[Svyrydov]

Цитата:

Сообщение от ms-rem

а ну ж ка расскажи про принцип работы системы реального времени, просвети так сказать.

то есть согласно выделенных слов ты думаешь, что софтайс отладчик реального времени. ок. покажи мне отладчик, который будет останавливать выполнение программы не в нужный(в этот) момент времени.

нет времени
я последний раз пользовался софтайсом - когда в quake 2 играли
так что многое изменилось с тех пор, хотя принцип остался тот же

а просвещать - на это есть интернет, хотя из сарказма зреет вывод что просвещать не нужно

если знаешь лучше - то помоги человеку советом а не выё///айся

[ms-rem]

Цитата:

Сообщение от Svyrydov

нет времени

бгг, та слава богу ибо то что наговорил ты, это набор слов, я представляю чтобы ты напросвещал )

Цитата:

Сообщение от Svyrydov

если знаешь лучше - то помоги человеку советом а не выё///айся

так человек сам видимо неособо заинтересован. спросил же что за переменные, подсказал какую тулзу юзать, ни ответа ни привета.

[VoVaN]

Цитата:

Сообщение от Debian

вопрос: с помощью какой программы можно правильно выудить адреса переменных в ОЗУ?

ArtMoney
Переменные есть только в оперативе, на интерфейс ни где не выводятся, я так понял? Если б выводились - можно было бы считать банальным API.
Вопрос только увидеть глазами или еще и нужно их где-то использовать левым софтом?

Цитата:

Сообщение от Svyrydov

SoftIce

Дельный совет. Примерно как использовать орбитальный лазер для борьбы с улитками.
"В памяти обнаружен отладчик, программа завершает работу" (с) кстати.

[ms-rem]

Цитата:

Сообщение от VoVaN

Переменные есть только в оперативе, на интерфейс ни где не выводятся, я так понял?

в общем-то судя из вопроса содержимое переменных в контролы не выводится. Если так то надо знать назначение переменных, когда и для чего используются. Можно поведать еще что за прога, если не секрет конечно )

[Debian]

можно
авиасимулятор

надо выдирать оттуда координаты модели в пространстве
вообще переменные нашел
только правда есть один момент
после восстановления сессии... ( самолет летал-разбился-появился новый) изменяется адреса переменных

как будто прога убивает класс и создает его поновой...

[VoVaN]

Это абсолютно закономерно.
Хорошая новость - в рамках этого класса все поля всегда будут сохранять относительное расположение, так что если насканить какое-то легко находимое поле - адреса своих координат сможешь вычислять исходя из адреса этого поля.

[ms-rem]

Цитата:

Сообщение от VoVaN

так что если насканить какое-то легко находимое поле

виртуальный адрес функции постоянен, если небудет перемещения образа, а из нее дергать адрес на структуру. а просто так насканить поле не получится. Но правильнее будет искать по image base + rva функции + смещение в функции.

upd: правда после создания как сказал тс "новой сессии", адрес все равно будет невалиден, тут задача усложняется.... или нет, надо больше подробностей.

[Debian]

что надо?

[ms-rem]

Цитата:

Сообщение от Debian

что надо?

шоколада ). в общем будут конкретные вопросы, будут и ответы.

Цитата:

Но правильнее будет искать по image base + rva функции + смещение в функции

кстати смещение в функции это я образно сказал, кто разбирается, понимает, что адрес в функции не находится он динамический, функция адресом оперирует и его вытягивать нужно из стека, а где будет находится стековый фрейм во время вызова функции неизвестно, поэтому без перехватов никак.

[PhoeniXX]

Efir себя палит