ich möchte gerne herausfinden, was ein laufendes Programm im Rechner macht. Also:
- feststellen, welche RAM-Bereiche (Adressen) das Programm nutzt und welche Daten geändert werden
- dito, welche Dateien (DLL, Datendateien usw.) vom aktiven Programm nachgeladen werden und in welche RAM-Adressen
Die Überwachung der Festplattenaktivität geht mit Sysinternals filemon.
Zur Verfügung habe ich diverse Hex-Editoren, OllyDBG und die letzte freie IDA-Version. Weitere Tips angenehm!
Untersuchen möchte ich ein altes WIN98-Spiel: die Siedler III (aus 1998). Dafür gibt es einen sogenannten Map-Editor, mit dem man
neue Spiele entwickeln kann. Die per Editor erzeugten Daten sind wohl eine Art Datenbank, die für jede Koordinate der Spiel-Landschaft
zuordnen, aus was der Landschaftsboden besteht (z.B. Gras, Wüste, Fluss, Wasser, Fels usw.) und ob da Bäume, Gebäude (=feststehende Objekte)
oder Siedler (beweglich) stehen.
Die Entwicklung bei Änderungen im Editor möchte ich gerne im RAM beobachten, um dann später per Hex-Editor händisch andere Werte auszuprobieren.
Jede Koordinate auf der Spiellandschaft hat Objekte (=eindeutige Hex-Zahl zur Identifikation), gefolgt von einer Liste mit Eigenschaften der Objekte
auf dieser Koordinate.
Es ist nun möglich, die Objekt-Hex-Zahlen zu ändern. Dann erscheint auf der Spiellandschaft z.B. eine Schilfpflanze im Wasser. Der Editor läst Schilf
aber nur auf Sumpf zu. Man sieht, so kann man das Spiel erweitern.
Die aktuell bearbeitete Map wird als EDM-Datei abgespeichert. Möchte man eine Spiel-Map erzeugen, muss diese EDM verschlüsselt/umgerechnet werden,
damit dann die spielbare MAP-Datei entsteht. Das Speichern der EDM dauert 1-2 Sek. Daher vermute ich, das keine Umrechnungen stattfinden, sondern nur
der genutzte RAM-Bereich auf die Festplatte geschrieben wird.
Auch das möchte ich gerne auf HEX-Ebene beobachten.
Kann mir jemand Tips geben, wie ich die genutzten RAM-Bereiche herausfinde, damit ich per Hex-Editor sehen kann, was sich ändert? Oder kann man
das in OllyDBG oder IDA irgendwie beobachten/herausfinden?
- feststellen, welche RAM-Bereiche (Adressen) das Programm nutzt und welche Daten geändert werden
- dito, welche Dateien (DLL, Datendateien usw.) vom aktiven Programm nachgeladen werden und in welche RAM-Adressen
Die Überwachung der Festplattenaktivität geht mit Sysinternals filemon.
Zur Verfügung habe ich diverse Hex-Editoren, OllyDBG und die letzte freie IDA-Version. Weitere Tips angenehm!
Untersuchen möchte ich ein altes WIN98-Spiel: die Siedler III (aus 1998). Dafür gibt es einen sogenannten Map-Editor, mit dem man
neue Spiele entwickeln kann. Die per Editor erzeugten Daten sind wohl eine Art Datenbank, die für jede Koordinate der Spiel-Landschaft
zuordnen, aus was der Landschaftsboden besteht (z.B. Gras, Wüste, Fluss, Wasser, Fels usw.) und ob da Bäume, Gebäude (=feststehende Objekte)
oder Siedler (beweglich) stehen.
Die Entwicklung bei Änderungen im Editor möchte ich gerne im RAM beobachten, um dann später per Hex-Editor händisch andere Werte auszuprobieren.
Jede Koordinate auf der Spiellandschaft hat Objekte (=eindeutige Hex-Zahl zur Identifikation), gefolgt von einer Liste mit Eigenschaften der Objekte
auf dieser Koordinate.
Es ist nun möglich, die Objekt-Hex-Zahlen zu ändern. Dann erscheint auf der Spiellandschaft z.B. eine Schilfpflanze im Wasser. Der Editor läst Schilf
aber nur auf Sumpf zu. Man sieht, so kann man das Spiel erweitern.
Die aktuell bearbeitete Map wird als EDM-Datei abgespeichert. Möchte man eine Spiel-Map erzeugen, muss diese EDM verschlüsselt/umgerechnet werden,
damit dann die spielbare MAP-Datei entsteht. Das Speichern der EDM dauert 1-2 Sek. Daher vermute ich, das keine Umrechnungen stattfinden, sondern nur
der genutzte RAM-Bereich auf die Festplatte geschrieben wird.
Auch das möchte ich gerne auf HEX-Ebene beobachten.
Kann mir jemand Tips geben, wie ich die genutzten RAM-Bereiche herausfinde, damit ich per Hex-Editor sehen kann, was sich ändert? Oder kann man
das in OllyDBG oder IDA irgendwie beobachten/herausfinden?
