Как считать значение нужного CPU регистра?

Question

[wlastas]

Доброго дня.
есть C# приложение, читающее память стороннего процесса.
По маске (F3 0F 11 8F 88 00 00 00) находим адрес инструкции, считывающей нужное значение.
В приложении он равен 7FF7548006C5, так же как и на картинке.

Окончательное значение, которое нужно считать находится по адресу в регистре rdi +0х88, тоесть в моем случае мне надо получить 0x204E31A5BB8, чтобы считать из него float

Как я понял, считать значение регистра можно только используя С++ .
Буду только рад, если это ни так и его можно считать напрямую из C# - тогда подскажите как.
Подозреваю, что считывать это значение нужно в "контексте исследуемого приложения" - пока плохо представляю, как это сделать из С++, но на данном этапе это не важно.
Я пытаюсь скомпилировать С++ Dll которую я буду дергать из C# с кодом, который я нашел здесь: https://stackoverflow.com/questions/2114163/readin...

#include <stdio.h>
long Get_rdi() {
    register long x asm("rdi");
    long y = *(&x);
    return y;
}

Проблема в том, что функция не компилируется.
Возможно что-то ни так с настройками проекта/VS или не хватает какого-то заголовка?

Answer 1

[ValdikSS]

Вам нужно отлаживать этот процесс. Просто так, статически, не меняя код процесса (чтобы вставить программную точку останова/бесконечный цикл) и не отлаживая его (чтобы использовать аппаратную точку останова), вы не сможете получить значение rdi.

Лет 15 назад я занимался написанием кейгенов, а когда это было нецелесообразно, скучно или долго, делал снифферы кодов.
Подробно процесс создания сниффера расписан в ARTeam Ezine #2: https://www.exploit-db.com/ezines/kr5hou2zh4qtebqk...

Before the actual coding part, let’s think for a minute what we need to do:
• start the program in suspended mode
• read the original bytes we are going to patch at the magic address
• write some bytes at the magic address, to make program enter an infinite-loop
• let the program run
• monitor if the program arrived at the infinite-loop (at magic address)
• if previous step is done, suspend the program and sniff the serial from EAX
• restore the original bytes (clear the infinite-loop) and resume the program

Comments

[wlastas]

ValdikSS

Вам нужно отлаживать этот процесс.

Мне бы для начала просто скомпилировать
register long x asm("rdi");
почему там подчеркивается неправильный синтаксис - в сети полно примеров именно со строкой такого вида.
Потом, после того, как я получу хоть какое-то значение из этого регистра, я буду думать как считать в нужном контексте - по идее мне нужно считать этот регистр всего один раз при запуске исследуемого процесса и нужный адрес в этом регистре будет довольно долго - может быть даже получится считать его не прерывая процесса.

[wlastas]

Если с чтением регистра все так сложно, то, возможно, можно получить нужный мне результат как то иначе.
Меня полностью устраивает функционал, который реализован в опции меню Cheat Engine 7.x

В нем кстати эта опция работает без запуска отладки и без прерывания процесса, к которому он подключен - то-есть интерактивно.
Проще всего, наверно, посмотреть на реализацию этого кода в CE исходнике, но я что-то ни нашел в нем строку этого меню, чтобы посмотреть на её обработку.
https://github.com/cheat-engine/cheat-engine/searc...

[ValdikSS]

wlastas,

Мне бы для начала просто скомпилировать

Вы скомпилируете библиотеку с функцией, которая возвращает значение rdi. При вызове, она вернёт какое-то значение rdi, которое туда записал какой-то код до этого. Это значение rdi не имеет никакого отношения к тому, которое будет на месте вызова интересующей вас инструкции в другой программе.

Чтобы прочитать rdi на моменте вызова определённой инструкции, нужно каким-то образом остановиться на этой инструкции. Либо, альтернативный вариант: вручную проанализировать код программы, понять, на какой адрес в памяти должен ссылаться rdi в интересующем вам месте, найти какие-то статичные опорные байты, которые позволят вам после программно найти этот же адрес в памяти.

[wlastas]

ValdikSS

Вы скомпилируете библиотеку с функцией,

Так в этом то и проблема - ошибка синтаксиса - компилятор хочет ";" после "x"

#include <stdio.h>
long Get_rdi() {
    register long x asm("rdi");
    long y = *(&x);
    return y;
}

Либо, альтернативный вариант: вручную проанализировать код программы

Да все давно проанализировано - я знаю как найти этот offset и нахожу его за 3 минуты с помощью CE, но я хочу полностью автоматизировать процесс поиска из моей С# программы, чтобы не заниматься этим c выходом каждого нового патча исследуемого приложения.

[ValdikSS]

wlastas,
Функция

long rdi(long arg) {
    return arg;
}

Вернёт вам значение RDI, по крайней мере, на Linux, потому что в RDI просто передаётся первый аргумент при вызове функции, согласно соглашению о вызовах.
Вот, убедитесь сами: https://godbolt.org/z/WMz9jfjh3

То, что вы пытаетесь сделать, выдаст вам совсем не тот результат, что вы ожидаете.

[wlastas]

ValdikSS, дак да в таком виде нет использования встроенныой функции "asm". Под моей VS это просто не компилируется уже в редакторе.
Насколько я понимаю в этой строке используется вызов https://en.cppreference.com/w/cpp/language/asm
только через какой-то макрос или еще как-то - меня это и интересует - как это запустить из VS 2019

[ValdikSS]

wlastas, msvc не поддерживает инлайн-ассембер на x86_64. Но даже если бы поддерживал, повторяю, то, что вы пытаетесь сделать, результата вам не принесёт. Вам нужно выполнять те шаги, которые я описал в первом сообщении — Cheat Engine именно так и работает.

[wlastas]

ValdikSS,

Вам нужно выполнять те шаги, которые я описал в первом сообщени

Да, большое спасибо, - это я уже понял и с зацикливанием и пересылкой данных из регистра куда-нибудь в "кучу" откуда его можно будет забрать - и то, что тут будут сложности, связанные с "мусором" в этом регистре, если считывать в нем в рандомный момент времени и т.
Но все же, мне бы просто считать из регистра хоть чего-нибудь!
Как это сделать?

[ValdikSS]

wlastas, Регистр можно считать из контекста (CONTEXT) отлаживаемого процесса.
https://stackoverflow.com/questions/28984286/autom...

[wlastas]

ValdikSS, О какая интересная ссылка - биг фенкс уже пробую - пока отрубает изучаемый процесс, наверно надо подшаманить под х64