Wpis z mikrobloga

Skopiuj link

19.11.2020, 08:15:09 via Wykop Mobilny (Android)

Czy jest możliwe wyciągnięcie z ramu pliku na którym się obecnie pracuje?

Mam program (windows, prawdopodobnie napisany w #java) który służy do tworzenia programów (struktura plików jak w xml, czyli można otworzyć notatnikiem) na centralkę testującą wiązki elektryczne. Jednak ten program zapisuje w pliku sumę kontrolną #crc . Gdy centralka testującą wykryje różnice między CRC zapisanym w programie a CRC obliczonym przez nią wyrzuca błąd i nie pozwala uruchomić programu.

Obstawiam (nie znam się na #reverseengineering #inzynieriawsteczna) że program póki jest w pamięci ram ma w miejscu CRC jakąś zmienną którą potem podmienia, i myślałem w ten sposób dojść do tego.

Generatory CRC na necie nie potrafią odtworzyć CRC wygenerowanego przez program. Jakieś pomysły? Pisze w #python więc może ktoś ma doświadczenie z podobnymi rzeczami.

E.....e

konto usunięte 19.11.2020, 08:40:42

@NewEpisode: można zrobić memory dump, jconsole chyba to wspiera jak chcesz jakis UI, eventualnie komenda jmap

NewEpisode

NewEpisode

19.11.2020, 08:43:47 via Wykop Mobilny (Android)

@Ewentualnie: Spróbuję, dzięki za info

konto usunięte

E.....e

konto usunięte 19.11.2020, 09:00:20

@NewEpisode: jak coś, to jeszcze masz eclipse memory analizer do patrzenia co jest w heapie. Jest strona heap hero, ale to jak masz dane wrażliwe to bym tam nie wrzucał

NewEpisode

19.11.2020, 09:12:57 via Wykop Mobilny (Android)

@Ewentualnie: dane same w sobie wrażliwe nie są, co innego program i jego powiązanie z firmą :p Ale to będę próbował w domu, odezwę jak mi się uda bądź nie

gentooman

19.11.2020, 15:01:53 via Wykop Mobilny (Android)

@NewEpisode: Intellij ma debugger i dekompilator. Jak zatrzymasz na breakpoincie to możesz edytować zmienne i wołać metody na obiektach.

NewEpisode

19.11.2020, 15:53:22 via Wykop Mobilny (Android)

@gentooman: program nie jest napisany przez mnie, jest w exe jak dobrze pamiętam ale muszę zerknąć w pracy

gentooman

19.11.2020, 16:12:34 via Wykop Mobilny (Android)

@NewEpisode: Jeśli uda Ci się wyciągnąć z niego .jar albo .class to możesz to wrzucić do Intellij i próbować debugowac. Ale to nie będzie łatwe bo jest to dość niestandardowy przypadek

NewEpisode

19.11.2020, 16:20:23 via Wykop Mobilny (Android)

@gentooman: Zaraz ogarniam virtualboxa z w10 i będę instalował program, spróbuję wygrzebać jak najwięcej

NewEpisode

20.11.2020, 15:46:44 via Wykop Mobilny (Android)

@gentooman: @Ewentualnie: niestety nie jestem w stanie wyciągnąć czegokolwiek z programu. Nie ma możliwości bezpośrednio grzebać w ramie?

E.....e

konto usunięte 20.11.2020, 16:21:10

@NewEpisode: nie wiem jak w windows, ale na linux można robić memory dumpy

gentooman

20.11.2020, 16:31:28 via Wykop Mobilny (Android)

@NewEpisode: CheatEngine ma fajny edytor pamięci procesu. Ale jak to jest java to wątpię że uda Ci się coś z tym zrobić bez podpięcia się debuggerem do javy

TheEasyPeasy

02.12.2020, 00:20:45 via Android

@NewEpisode Możesz zdumpować z JVM klasy na wiele sposobów. Najłatwiejszy to chyba uruchomienie tej Jarki z Java agentem który zrzuci to co ładuje class loader, ewentualnie mozesz natywnie shookować defineClass/użyć JVMTI. W razie czego dawaj znać pomogę :)

NewEpisode

02.12.2020, 05:02:03

@gentooman: Nie zauważyłem odpowiedzi. Dzięki za info!

@TheEasyPeasy: Tobie również, tylko problem z plikami..

morsisko

05.12.2020, 21:33:53

@NewEpisode: Za pomocą programów jak DetectItEasy możesz po sygnaturach zobaczyć na przykład jakim kompilatorem był kompilowany dany program, wtedy możesz wykluczyć czy to java czy nie. Z ramu jak najbardziej możesz odczytać wszystko, z poziomu usermode masz od tego funkcje takie jak ReadProcessMemory. Ja bym do tego podszedł w inny sposób, znalazł miejsce w programie w którym jest tworzona suma kontrolna i zreversował algorytm jej tworzenia.