Processus en cours et mémoire

[dexter74]

Bonjour,

J'aimerai savoir si c'est possible de récupérer la mémoire d'un processus pour ensuite permet via un logiciel d'hexadécimale pouvoir récupérer un mot de passe.


Le processus lolclient.exe , si on crée un fichier d'échange et on le lis avec un éditeur héxadécimale.

chercher: (Il y'à deux lignes)

lolclient.lol.riotgames.com

Résultat:

summonerServicÃeceÃedentials.ipAddress.authToken.username.%4.2.14_02_11_15_24.7lolclient.lol.riotgames.com..password123....

Le login et le mot de passe est juste à côté.

 

[davydavekk]

Oui c'est possible.

 

[Nayres]

Tu dois trouver la partie de la mémoire où le mdp est stocké.

 

[Evaelis]

L'adresse tourne mais à coup de memory read :

��hTokenoperatingSystemusername
locale
%4.2.14_02_11_15_247lolclient.lol.riotgames.com
Password10.20.52.240‡3{

En hexa

4efbfbd4efbfbd68546f6b656e1f6f7065726174696e6753797374656d11757365726e616d65a6c6f63616c651625342e322e31345f30325f31315f31355f32346376c6f6c636c69656e742e6c6f6c2e72696f7467616d65732e636f6d161550617373776f726431302e32302e35322e3234306e280a1337b

Faudrait trouver un offset ou un truc du genre

 

[TheHardButcher]

Deux solution, tout d'abord le MemoryRead avec adresse, style Cheat Engine, ou le dump complet du programme (snapshot)

 

[dexter74]

Bonjour TheHardButcher,

Pourrais-tu détailler pour le snapshot car sa m'intéresserai.
Se serai super si tu pouvais m'expliquer pour autoit .
Et le must sur skype: dr.thr3x


@Evaelis L'offset tu l'obtiens comment ?

 

[TheHardButcher]

On en parlera plus précisément sur Skype, mais un snapshot ce dit surtout pour une VM, c'est en gros un copie exacte de la mémoire de la VM.
Pour un processus, on peut faire la même chose, même si on appellera plutôt cela un dump ou memory dump.

 

[RockRoss]

Nan mais là ça sent surtout le gars qui veux faire un utilitaire àlacon pour analyser en douce le lolclient.exe de pigeons naïfs pour en extraire le login/mot de passe!
Parce que bon la manip que tu cites il la connais: "Le processus lolclient.exe , si on crée un fichier d'échange et on le lis avec un éditeur hexadécimale."

Bref, pour générer un dump mémoire il te suffit simplement d'ouvrir un gestionnaire des taches, de faire un clic droit sur le processus ciblé et de cliquer sur "Créer un fichier de vidage". Tu n'auras plus qu'à ouvrir le fichier dmp généré avec un éditeur hexadécimal.