如何获取其他进程当前读取的数据？

oopww

公司有一套加密软件，是透明加密方式！
我的想法是既然他要解密才能让我们的软件读取数据嘛，不然这么读取啊？O(∩_∩)O~
这个程序会监视指定程序保存数据（比如word），然后立马加密！
我们要做的工作就是把该程序当前读取的数据给读取出来（已经是正规的编码了，没有加密了），然后再保存！保存出来的就不是加密的，因为他监视的是word、excel等其他软件的读写操作，而不是我们的程序！



简单点说，我打开word，然后我读取word进程打开的doc的数据，然后保存成doc文件！有能实现这样的嘛？{:soso_e101:}

或者说是读取CAD进程打开的dwg文件数据，然后给另存下来？{:soso_e122:}


也许程序会hook读取进程的函数，这个都不要紧，我们恢复这个hook再读取嘛，嘿嘿！~~

马大哈

那意思是被加密的程序WriteFile写的是明文,但存到硬盘的是密文;

而ReadFile读取的是明文罗?

这样的话,很简单嘛,注入,然后在那个进程里调用ReadFile,再把读到的内容发到自己进程,然后自己进程再保存文件.{:soso__9053858523583330587_2:}

oopww

马大哈 发表于 2012-4-11 15:24
那意思是被加密的程序WriteFile写的是明文,但存到硬盘的是密文;

而ReadFile读取的是明文罗?

有木有参考？

oopww

1. /*
   
2. 两个关键函数 ReadProcessMemory和VirtualQueryEx 理解得不透彻，所以可能有点小问题，但大体流程应该是这样，希望对你有帮助。另外，好多地方没有作错误检查，不保证在你的环境下一定能用。
   
3. 请各路大神指正。
   
4. */
   
5. #include<iostream>
   
6. #include <fstream>
   
7. #include<windows.h>
   
8. #include<tlhelp32.h>
   
9. using namespace std;
   
10. 
    
11. int main()
    
12. {
    
13.     char app[1024];
    
14.     cout<<"请输入映像名(含.exe)\n如: ctfmon.exe\n:";
    
15.     cin>>app;
    
16.     fstream fp("dump.txt",ios::binary|ios::out);
    
17.     BOOL flag=0;
    
18.     HANDLE htoken;
    
19.     TOKEN_PRIVILEGES tkp;
    
20.     OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY,&htoken);
    
21.     LookupPrivilegeValue(NULL, SE_DEBUG_NAME,&tkp.Privileges[0].Luid);
    
22.     tkp.PrivilegeCount = 1;
    
23.     tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    
24.     AdjustTokenPrivileges(htoken,0,&tkp,NULL,NULL,0);
    
25.     CloseHandle(htoken);
    
26.     PROCESSENTRY32 pe32;
    
27.     pe32.dwSize=sizeof(pe32);
    
28.     HANDLE hprosnap=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
    
29.     if(hprosnap==INVALID_HANDLE_VALUE)
    
30.     {
    
31.         cout<<"Snapshot failed!"<<endl;
    
32.     }
    
33.     if(Process32First(hprosnap,&pe32))
    
34.     {
    
35.         do
    
36.         {
    
37.             if(!strcasecmp(app,pe32.szExeFile))
    
38.             {
    
39.                 cout<<"Program is dumping..."<<endl;
    
40.                 flag=true;
    
41.                 break;
    
42.             }
    
43.         }
    
44.         while(::Process32Next(hprosnap,&pe32));
    
45.     }
    
46.     CloseHandle(hprosnap);
    
47.     if(!flag)
    
48.     {
    
49.         cout<<"Process not found!\n";
    
50.         system("pause");
    
51.         return 1;
    
52.     }
    
53.     SYSTEM_INFO si;
    
54.     GetSystemInfo(&si);
    
55.     HANDLE htarget=OpenProcess(PROCESS_ALL_ACCESS,0,pe32.th32ProcessID);
    
56.     if(htarget==NULL)
    
57.     {
    
58.         cout<<"Open Process Error!\n";
    
59.         return 2;
    
60.     }
    
61.     MEMORY_BASIC_INFORMATION mbi;
    
62.     char *onepagebuf=new char [si.dwPageSize];
    
63.     for(DWORD start=(DWORD)si.lpMinimumApplicationAddress; start<(DWORD)si.lpMaximumApplicationAddress-si.dwPageSize; start+=si.dwPageSize)
    
64.     {
    
65.         if(!VirtualQueryEx(htarget,(void *)start,&mbi,sizeof(mbi))==sizeof(mbi))
    
66.             break;
    
67.         if(mbi.State==MEM_COMMIT)
    
68.         {
    
69.             ReadProcessMemory(htarget,(void *)start,onepagebuf,si.dwPageSize,NULL);
    
70.             fp.write(onepagebuf,si.dwPageSize);
    
71.         }
    
72.     }
    
73.     cout<<"done\n";
    
74.     CloseHandle(htarget);
    
75.     fp.close();
    
76.     delete []onepagebuf;
    
77.     system("pause");
    
78.     return 0;
    
79. }

复制代码

新电脑没装VC，欢迎翻译成VB！~

马大哈

VB变态应用之"移花接木",陈辉原创(VB6.0)

这是VB6的远程执行函数的封装,你注入WORD再执行看看

oopww

没人了》？？？我苦等10多天~！~

WG102514

顶

kk1025

支持