Xenico - So 27.12.09 15:27
Titel: Anfang eines Programmes im Arbeitsspeicher

---

Hi,

ich würde gerne wissen, wie man mit Hilfe der WinAPI herausfindet, wo ein frisch gestartetes Programm im Speicher anfängt...
Gibt es da einen Befehl?

MFG, Xenico

guinnes - So 27.12.09 18:11

---

Steht im PE-Header
Aber denke dran, die Adressen sind nicht die Physikalischen Adressen

Xenico - So 27.12.09 18:21

---

Erstmal Thx :D
Das was du sagst versteh ich, aber ich weiss jetz nicht wie ich da die Dinge rausbekommen soll...mit WinApi bin ich noch nicht so fit <.<

guinnes - So 27.12.09 18:28

---

Bei den Jedies gibts dafür eine Komponente : JclPEImage oder so
Die Werte findest du im OptionalHeader

Xentar - So 27.12.09 18:57

---

Steht in dem Header nicht nur der Einsprungpunkt?

Xenico: Was genau möchtest denn rausfinden, bzw. was hast vor?

Xenico - Mo 28.12.09 10:35

---

Eigentlich wollte ich beim Win7 Solitär per Multi-Level Pointer die Zeit stoppen, da ich den aber nicht richtig herausbekomme, dachte ich mir, dass ich an der Anfangsadresse vom Programm anfange und da die Offsets hinzuaddiere und dann eigentlich automatisch an die Zeit-Adresse gelange...

Ich fand halt das Tutorial über Trainer interessant, wollte selber das mal ausprobieren, jetzt hänge ich da seit Tagen rum :(

MFG, Xenico

Flamefire - Mo 28.12.09 11:52

---

Da dann lieber nach enumprocessmodules und GetModuleInformation gucken.
Das bringt da das was du willst ;-)

Xenico - Mo 28.12.09 14:47

---

Kannst du mir genauer erklären, wie ich agieren muss? Was muss ich oben einbinden, damit es nicht mehr rot unterstrichen ist?

Xentar - Mo 28.12.09 15:49

---

Drück mal F1..
dann geht die Hilfe auf, und da steht auch, wo das deklariert ist.

Xenico - Mo 28.12.09 18:47

---

Okay, danke für die Hilfe, war nur etwas gestresst, darum die dumme Frage^^