есть программа, у программы есть классы, исходника программы нет, надо определить структуру класса. Предположим программа уже запущенна и работает. С помощью ArtMoney можно узнать адреса отдельных атрибутов объекта класса.
вопрос: можно ли как-то узнать адреса других элементов?

не могу подобрать запрос в поисковике, что бы хоть что-то найти, поэтому буду рад за любую интересную инфу. спасибо!

Это сообщение отредактировал(а) ccop - 1.7.2009, 19:41

пробуйте в гугле волшебные слова: IDA, HIEW, OllyDBG, мозг, SoftICE, windbg,  assembler и идите по ссылкам. А это раздел про С\С++, и вам не сюда.

jonie, спасибо, я создал в разделе С++, потому что нужно именно для С++, т.е. нужно учитывать спецификации С++, как, например, организована таблица виртуальных функций и т.п. Я думаю, здесь тоже что-то такое есть, типа: при создании объекта адреса всех атрибутов сохраняются в какой-то таблице. Или как у структуре, они создаются подряд...

Атжег! 

Добавлено через 1 минуту и 10 секунд

Да. Но это форум по написанию/созданию программ. А тебе нужно наоборот.

артмани, лол
IDA+olly юзай

Добавлено через 4 минуты и 40 секунд
вкратце:

объекты - это обычные структуры данных, чтобы получить какое-то поле, надо к адресу объекта прибавить смещение поля 
чтобы получить смещение - его надо гдето подсмотреть

Ребята, извините, что немного промахнулся с форумом, но задумка была вот такая:
мне надо написать программу на С++, которая бы "ловила" данные с памяти другой программы, т.е. просто дизассемблировать программу я думаю не получиться, я узнаю только структуру класса (и то если узнаю ), а вот если 
 - вариант, конечно мне кажется маловероятным, но поэтому я и спросил, что бы вы либо подтвердили это и сказали типа да оно так и работает, либо опровергли 
Спасибо всем кто отписался   

Я думаю, что данные ловят только юзвери, юзая проги типа артмани. 
Программисты ловят код. Для этого код дизассембилуется, ищутся места где производится доступ к необходимым переменным, и этот код перехватывается. 
Адрес переменной удобно "искать" если она в статической памяти. Если переменная в хипе или в стеке, ее можно найти только перехватив ее конструктор, или код ее создающий, или код ее использующий.
Да, для полиморфных объектов можно просканировать всю память, ища указатель на таблицу виртуальных методов (ВМТ) класса, который будет в начале искомого объекта, но это неоптимально.

GoldFinch, понял Вашу мысль, буду разбираться, спасибо!

Во первых вы говорите о декомпиляции, а декомпилировать С++ код практически не возможно....

Декомпилируется как правило статический код то и есть исполняемый файл, а вот виртуальную память, декомпилировать, задача в принципе не решаемая(ну или очень с большим опытом реверсинга, а уровень опыта у автора явно не велик). 




На форуме обсуждаются вопросы связаные с С/С++, а для нормального понимания С++ требуется знаний что, где и как.


P.S.

ccop - можете не разбиратся, вы не решите эту проблему(может быть лет через 5 при глубоком изучению, но проблема будет уже устаревшой)..........

ты не знаешь о чем говоришь.

Надо, только и про выравнивание структур не надо забывать.


Это сообщение отредактировал(а) azesmcar - 2.7.2009, 09:09

azesmcar, огромное спасибо за ссылку по теме! очень полезная информация.

другим, ваши ответы мне тоже помогли навести порядок в голове, некоторые моменты я уже понял, буду разбираться. Всем огромное спасибо, если будут еще интерессные ссылки по теме, пожалуйста, буду рад  

ЗЫ
Я новичек, но не такой как могло показаться , если надо, я разбирусь  

и про указатель на таблицу вирт. функций

И про виртуальный базовый класс (если уж на то пошло)  

Lazin, 
azesmcar, 
какое выравнивание? какой указатель на ВМТ?
там будет 

где Struct.x  - смещение нужного поля, например 0x3C
что находится вокруг этого поля - нас волновать не должно,

в коде это будет выглядеть


в ряде случаев можно будет написать просто 
int x=*(int*)((char*)ptr +0x3C);
без объявления структур

в конце концов код можно и из hex-rays скопировать

Это сообщение отредактировал(а) GoldFinch - 2.7.2009, 10:58

а смещение тебе наверное компилятор в комментариях сгенерированного бинарного кода напишет, так? Окуда ты это магическое число взял?
Тебя не должно волновать то, что тип который должен занимать 1 байт, занимает 4 к примеру? Оффсеты как считать будешь? А то что вместо объекта в памяти лежит указатель на него (речь о виртуальном базовом классе) тебя тоже не волнует? Или то что по указателю объекта mystruct


лежит не int q, а указатель на vtable. Это все конечно не важно, ведь у нас есть магическое число 0x3C, которое решает все проблемы.

azesmcar, ты тоже не знаешь о чем говориш.

гениальный ответ, впрочем большего я и не ожидал.
  
тут один ты все знаешь.
ты хоть прочитал написанное? Это риторический вопрос, можешь не отвечать.


Это сообщение отредактировал(а) azesmcar - 2.7.2009, 11:31

то о котором ты говорил  

а есть еще оптимизация,  и там можгут быть совввсем другие выкрутасы с vtable  в том числе.  Тем более что с vtable все тоже сложно (пример: http://www.rsdn.ru/article/cpp/fastdelegate.xml)

azesmcar, берем прогу

компилим в релизе без отладочной информации
грузим в IDA, ищем "x=", находим Foo1::print()
в начале которого видим

откуда мы получаем что смещение x_ равно 0x4
и можем восстановить код

поздравляю, ты нашел указатель на VMT!
осталось сделать чуть менее тривиальный пример, что-бы посмотреть как выравниваются члены класса в памяти  


из дизассемблированого кода вестимо, видимо к этому ответу относился комментарий:
 xD ты забыл мягкий знак!

Lazin, при реверсировании мне совершенно без разницы, выравнивание там, или просто поле которое не используется
в обоих случаях я пишу "char stuff_xx[delta];" 
если я не собираюсь пользоваться указателем на вмт - он stuff, если собираюсь, он int*, то же можно сказать и о других полях

Это сообщение отредактировал(а) GoldFinch - 2.7.2009, 13:35