WinFuture-Forum.de: Wie Arbeitsspeicher auslesen? - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Prozessoren & Speicher
Seite 1 von 1

Wie Arbeitsspeicher auslesen?


#1 Mitglied ist offline   Doodle 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.996
  • Beigetreten: 09. Februar 12
  • Reputation: 596
  • Geschlecht:Männlich

geschrieben 05. Januar 2013 - 11:48

Wie kann man herausfinden, was sich aktuell im Arbeisspeicher befindet? Also ganz konkret welche Daten sich dort befinden, so wie ich sehen kann, was auf meiner Festplatte gespeichert ist.
0

Anzeige



#2 Mitglied ist offline   nobody is perfect 

  • Gruppe: VIP Mitglieder
  • Beiträge: 5.714
  • Beigetreten: 13. Oktober 06
  • Reputation: 315
  • Geschlecht:Männlich
  • Wohnort:Köln

geschrieben 05. Januar 2013 - 12:01

was ich im Moment gelesen habe, gibt es nichts was du meinst
0

#3 Mitglied ist offline   WinFutAl10 

  • Gruppe: Moderation
  • Beiträge: 2.971
  • Beigetreten: 01. Juni 10
  • Reputation: 234
  • Geschlecht:Männlich

geschrieben 05. Januar 2013 - 12:50

Das Einzige was mir da einfällt, wäre der Ressourcenmonitor, der ja schon bei Windows dabei ist.
0

#4 Mitglied ist offline   Holger_N 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.797
  • Beigetreten: 11. September 10
  • Reputation: 443
  • Geschlecht:Männlich

geschrieben 05. Januar 2013 - 13:38

Ginge das überhaupt theoretisch? Da ist doch garantiert eine größere Anzahl an Daten drauf, die permanent wechselt wenn etliche Prozesse den Arbeitsspeicher verwendet und dann speichern die doch sicherlich keine Daten unter Dateinamen, die man zuordnen könnte sondern einfach irgendwelche Zahlenkolonnen. (Also das wäre meine Vorstellung von der Arbeitsweise)

Dieser Beitrag wurde von Holger_N bearbeitet: 05. Januar 2013 - 13:38

Bauernregel: Regnets mächtig im April, passiert irgendwas, was sich auf April reimt.
0

#5 Mitglied ist offline   Sturmovik 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.776
  • Beigetreten: 10. Januar 08
  • Reputation: 445
  • Geschlecht:unbekannt
  • Wohnort:In Reichweite der Kaffeemaschine
  • Interessen:IT, Luftfahrt, historische Technik

geschrieben 05. Januar 2013 - 13:46

kommt drauf an, wo die Daten gelesen wurden.
Falls ich in der Schule richtig aufgepasst hab, wird steht das was von Platte vorgeladen wird 1:1 so im Speicher wie auf Platte. Code bleibt Code, Text bleibt Text, allerdings gern mal wild durcheinander, da ein Speichercontroller ja zu recht keinen Gedanken an (de)fragmentierung verschwendet.
Richig kompliziert wirds dann, wenn teilverarbeitete Daten da rumliegen, die sind dan wohl eher schwer zu entziffern. Alle Angaben ohne Gewähr, is alles verdammt lang her bei mir.

Aber mal im Ernst, was soll das bringen, den Speicher auszulesen? Is eh nur zerpflücktes Wirrwarr

Dieser Beitrag wurde von Sturmovik bearbeitet: 05. Januar 2013 - 13:49

«Geschichte wiederholt sich nicht, aber sie reimt sich» (Mark Twain)

Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.

True Cloudstorage
0

#6 Mitglied ist offline   Doodle 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.996
  • Beigetreten: 09. Februar 12
  • Reputation: 596
  • Geschlecht:Männlich

geschrieben 05. Januar 2013 - 14:32

In einem anderen Thread wurde behauptet, dass man (zwar praxisfern) aber theoretisch unter ganz besonderen Bedingungen sogar einen ausgebauten Arbeitsspeicher auslesen könnte. Dann sollte es doch auch mit einem eingebauten gehen. So abwegig finde ich das nicht. Die Frage ist nur wie würde es funktionieren ?
0

#7 Mitglied ist offline   Sturmovik 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.776
  • Beigetreten: 10. Januar 08
  • Reputation: 445
  • Geschlecht:unbekannt
  • Wohnort:In Reichweite der Kaffeemaschine
  • Interessen:IT, Luftfahrt, historische Technik

geschrieben 05. Januar 2013 - 14:39

Geht theoretisch schon, indem du sämtliche Adressen abklopfst und deren Werte ausgibst. Frage ist nur ob dich das Betriebssystem überhaupt an den Speicher ranlässt, denn moderne Betriebssysteme arbeiten als Hardwareabstraktionsschicht.

Für Linux gibts übrigens ein paar Programme die das schaffen.
«Geschichte wiederholt sich nicht, aber sie reimt sich» (Mark Twain)

Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.

True Cloudstorage
0

#8 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.803
  • Beigetreten: 20. Juli 07
  • Reputation: 1.121
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 05. Januar 2013 - 14:53

Sollte es nicht möglich sein, einen memory dump zu bekommen?

Allerdings verändert das RAM-Auslesen den RAM. Immerhin muß ja ein Befehl rausgehen, den RAM zu lesen - der geht in den RAM, von da zur CPU, und von dort wieder zurück in den RAM...
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#9 Mitglied ist offline   DK2000 

  • Gruppe: Administration
  • Beiträge: 19.563
  • Beigetreten: 19. August 04
  • Reputation: 1.393
  • Geschlecht:Männlich
  • Wohnort:Oben auf dem Berg
  • Interessen:Essen, PC, Filme, TV Serien...

geschrieben 05. Januar 2013 - 15:05

Gibt schon solche Tools, die das Auslesen des Speichers ermöglichen (div. Hexeditoren, RWEverything etc.). Allerdings ist es so, wie es Sturmovik schon angedeutet hat. Windows, besonders die 64bit Versionen, reagieren da teilweise sehr allergisch, wenn da ein Tool kommt, und "fremden" Speicher auslesen will. Das Endet häufig im BSOD.

Ansonsten bleiben da nur noch die Windows eigenen Debugging Tools. Wenn man hier Windows in den Kernel Debug Modus startet, kann man hier auch in der Debugging Konsole Memory Dumps anlegen bzw. direkt Speicherbereiche auslesen.

Aber ist alles nicht so einfach, da man i.d.R. nur den Inhalt des Speichers sieht ohne weitere Information. Wenn man nicht weiß, wonach man genau sucht, ist man hier hoffnungslos verloren.

Dieser Beitrag wurde von DK2000 bearbeitet: 05. Januar 2013 - 15:06

Ich bin kein Toilettenpapier-Hamster.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
0

#10 Mitglied ist offline   Holger_N 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.797
  • Beigetreten: 11. September 10
  • Reputation: 443
  • Geschlecht:Männlich

geschrieben 05. Januar 2013 - 15:25

Es kommt doch aber auch drauf an, was man mit den Daten machen will. Man kann ja entweder nur eine Stichprobe zu einem ganz bestimmten Zeitpunkt machen, dann kann man aber keine konkreten Daten nachweisen, wenn der zugehörige Prozess in dem Moment den RAM gar nicht nutzt oder man muß alles mitspeichern auch sämtliche Veränderungen und dann können aber ganz schnell Terabyte-Größenordnungen zusammenkommen oder?
Hinter dem Problem steht doch weniger die Frage, ob es geht, sondern falls es geht,ob man mit den Daten überhaupt etwas anfangen kann.
Bauernregel: Regnets mächtig im April, passiert irgendwas, was sich auf April reimt.
0

#11 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.803
  • Beigetreten: 20. Juli 07
  • Reputation: 1.121
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 05. Januar 2013 - 15:38

Naja, das eine ist so nutzlos wie das andere, wenn man nicht weiß, was für Strukturen da zugrunde liegen... bei HDs also z.B. was für ein Dateisystem das war, welche Daten wo sind und vor allem wo weitergehen... und beim RAM, ob es überhaupt ein konsistenter Snapshot ist (oder ob noch während des Dumps im RAM rumgeschrieben wurde), welche Adressen zu welchem Prozeß gehören - und wie dieser Prozeß seine Daten im RAM abgelegt hat, etc etc etc...

Kommt natürlich auch und insbesondere darauf an, *was* man sucht und was man mit der gewonnenen Info anfangen will.

Am Anfang steht Cheat Engine. Damit liest man prozeßbezogene Daten und kann auch nach Werten suchen.

Dieser Beitrag wurde von RalphS bearbeitet: 05. Januar 2013 - 15:41

"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#12 Mitglied ist offline   Doodle 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.996
  • Beigetreten: 09. Februar 12
  • Reputation: 596
  • Geschlecht:Männlich

geschrieben 05. Januar 2013 - 20:41

Beitrag anzeigenZitat (Holger_N: 05. Januar 2013 - 15:25)

Es kommt doch aber auch drauf an, was man mit den Daten machen will.

Ich will damit gar nichts machen. Es interessiert mich halt. Theoretisch könnte man Passwörter und sowas villeicht auslesen. Aber das ist an meinem PC uninterresannt weil ich ihn allein nutze. :)
Technisch würde mich das schon interessieren.
0

#13 _doll-by-doll_

  • Gruppe: Gäste

geschrieben 06. Januar 2013 - 09:48

Versuch es mal mit Winhex, der kann auch den Speicher anzeigen und vieles mehr.
Klick
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0