Stack watcher
Soyez le premier à donner votre avis sur cette source.
Snippet vu 5 676 fois - Téléchargée 20 fois
Contenu du snippet
Permet la visualisation l'état de la pile, et donc des registres, d'un thread en cours d'execution.
Toutes les explications sont ici ainsi qu'un petit rappel sur les registres : http://lilxam.blogspot.com/2008/02/stack-watcherregisters-viewer.html
Toutes les explications sont ici ainsi qu'un petit rappel sur les registres : http://lilxam.blogspot.com/2008/02/stack-watcherregisters-viewer.html
Source / Exemple :
#include <windows.h>
#include <cstdlib>
#include <iostream>
#include <tlhelp32.h>
using namespace std;
typedef HANDLE (__stdcall *PfOpenT)(DWORD, BOOL, DWORD);
DWORD GetPIDByProcess(char argv[]);
void SetDebugPrivilege();
void SetDebugPrivilege(){
TOKEN_PRIVILEGES privilege;
LUID Luid;
HANDLE handle1;
HANDLE handle2;
handle1 = OpenProcess(PROCESS_ALL_ACCESS, FALSE, GetCurrentProcessId());
OpenProcessToken(handle1, TOKEN_ALL_ACCESS, &handle2);
LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &Luid);
privilege.PrivilegeCount = 1;
privilege.Privileges[0].Luid = Luid;
privilege.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
AdjustTokenPrivileges(handle2, FALSE, &privilege, sizeof(privilege), NULL, NULL);
CloseHandle(handle2);
CloseHandle(handle1);
}
DWORD GetPIDByProcess(char argv[])
{
printf("\n[*] Getting PID...");
HANDLE hSnapShot;
PROCESSENTRY32 uProcess;
hSnapShot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
uProcess.dwSize = (DWORD) sizeof(PROCESSENTRY32);
int p = 0;
DWORD PID;
p = Process32First(hSnapShot, &uProcess);
while(p)
{
if(strstr(uProcess.szExeFile, argv))
{
printf("\n [+]Process found : %s", uProcess.szExeFile);
PID = uProcess.th32ProcessID;
printf("\n [+]Process ID : 0x%x", PID);
return PID;
}
p = Process32Next(hSnapShot, &uProcess);
}
CloseHandle(hSnapShot);
return 0;
}
int main(int args, char *argv[])
{
SetDebugPrivilege();
//Recup de la fonction OpenThread dans kernel32.dll
HMODULE hModDll = NULL;
hModDll = LoadLibrary("kernel32.dll");
PfOpenT OpenThread = (PfOpenT)GetProcAddress(hModDll, "OpenThread");
////////////////////////////////////
char Process[100];
DWORD PID, TID;
HANDLE hSnapShot, hThread;
THREADENTRY32 th32;
CONTEXT Context;
Context.ContextFlags = CONTEXT_FULL;
printf(" ********* Stack Watcher *********");
cout<<"\n\nProcess you want to analyse : ";
cin>>Process;
PID = GetPIDByProcess(Process);
//////////////////////////////////////
//On établit la liste de tous les threads
hSnapShot = CreateToolhelp32Snapshot(TH32CS_SNAPTHREAD, 0);
if(hSnapShot == INVALID_HANDLE_VALUE)
{
printf("\n[!]Cannot create process list.\n---- Error with CreateToolhelp32Snapshot() : 0x%x\n\n", GetLastError());
system("pause");
return 0;
}
th32.dwSize = (DWORD) sizeof(THREADENTRY32);
//On se place sur le premier thread
Thread32First(hSnapShot, &th32);
do
{
if(th32.th32OwnerProcessID == PID)
{
//On a trouvé un thread qui appartient au processus qu'on veut analyser
TID = th32.th32ThreadID;
printf("\n--------------------\\ Thread ID : 0x%x /--------------------", TID);
/*
HANDLE WINAPI OpenThread(
__in DWORD dwDesiredAccess,
__in BOOL bInheritHandle,
__in DWORD dwThreadId
);
- /
- /
- /
A voir également
- Stack watcher
- Heap et stack - Forum - ASM
- Call stack - Forum - VB.NET
- Stack pop c - Forum - C / C++ / C++.NET
- Visual Basic / VB.NET : Port watcher (o;p (ancienement anti nuke) - CodeS SourceS - Guide
- Visual Basic / VB.NET : Watcher 1.0 regarde les operation system du point de vue des fichiers - Code - Guide
- Messages postés
-
21042
- Date d'inscription
- jeudi 23 janvier 2003
- Statut
- Modérateur
- Dernière intervention
- 21 août 2019
27#define _WIN32_WINNT 0x0501
#include <windows.h>
dans ce sens d'écriture.
- Messages postés
-
21042
- Date d'inscription
- jeudi 23 janvier 2003
- Statut
- Modérateur
- Dernière intervention
- 21 août 2019
27Les registres de segment, regarde un peu ce que te dit le screenshoot que tu as mis:
DS, SS et ES ont la même valeur, normal sous Windows et 32 bits mode protégé en général. C'est le modèle FLAT donc là aussi, les anciennes appellations ont perdu leur sens.
oui alors pour le OpenThread() j'ai fais de cette façon parce que mon compilateur me disais que ma fonction n'était pas déclarée, pourquoi, je sais pas, si tu as une idée... Mais il est vrai que normalement inclure windows.h suffit puisque la fonction est déclarée dans winbase.h. J'ai pas voulu me prendre la tête alors j'ai fais comme ça, et ça m'a permit de revoir un peu cette méthode.
Sinon pour les registres tu as tout à fait raison, mais bon, ça fais pas de mal de savoir ça. Cependant t'as remarque ne concerne que ce que j'ai appellé le "registres principaux". Pour les registres debug, et les registres de segment ça reste utile de le savoir, non ?
- Messages postés
-
21042
- Date d'inscription
- jeudi 23 janvier 2003
- Statut
- Modérateur
- Dernière intervention
- 21 août 2019
27kernel32 est deja mappé à tout coup: GetModuleHandle().
PfOpenT OpenThread = (PfOpenT)GetProcAddress(hModDll, "OpenThread");
Pourquoi pas linké en static comme le reste ?
Sur ton site, "Un petit rappel sur les registres":
Hors ESP qui reste le Stack Pointer et EIP l'Instruction Pointer, les autres sont utilisés comme bon nous semble, leur donner une définition n'a plus de sens depuis des lustres.
Vous n'êtes pas encore membre ?
inscrivez-vous, c'est gratuit et ça prend moins d'une minute !
Les membres obtiennent plus de réponses que les utilisateurs anonymes.
Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes et codes sources.
Le fait d'être membre vous permet d'avoir des options supplémentaires.