Получить регистр ESP, у программы запущенной в памяти

[Winexcel]

Доброго времени суток! Сообственно сабж. Хочу получить регистр esp, в чужой программе которая запущена в памяти(использования дебаггеров и прочих инструментов не нужно), как это можно реализовать?
Подозреваю что в каком-то конкретном смещении указывается значение регистра esp(просьба не материть если оно не так ), подскажите как это сделать, копать в сторону дизассемблера на делфи?

[Pavia]

В своей программе или чужой?
В свой к примеру так:

Код:

function GetESP:DWord; register;
assembler;
asm
mov result, esp
add result, 16
end;

procedure TForm1.Button1Click(Sender: TObject);
begin
caption:=format('%x',[GetESP]);
end;

[Winexcel]

Цитата:

Сообщение от Pavia

В своей программе или чужой?
В свой к примеру так:

Код:

function GetESP:DWord; register;
assembler;
asm
mov result, esp
add result, 16
end;

procedure TForm1.Button1Click(Sender: TObject);
begin
caption:=format('%x',[GetESP]);
end;

Спасибо за ответ. Но вопрос стоял именно в чужой, как получить у своей и так ясно

[Pavia]

Копайте в сторону написание собственного отладчик. При остановке все регистры сохраняются в структуре TContext.

Код:

  GetThreadContext(HThead,Context);
  Context.Esp;

За основу проще взять класс от Розыча.
https://habrahabr.ru/post/178159/

[Winexcel]

Цитата:

Сообщение от Pavia

Копайте в сторону написание собственного отладчик. При остановке все регистры сохраняются в структуре TContext.

Код:

  GetThreadContext(HThead,Context);
  Context.Esp;

За основу проще взять класс от Розыча.
https://habrahabr.ru/post/178159/

Большое спасибо, стоит покурить.
А вот это не то что я думаю?

e_sp? Это случаем не смещение регистра?

[Pavia]

Цитата:

e_sp? Это случаем не смещение регистра?

Во первых это заголовок exe файла для DOS. Выполняется только в ДОС, виндоус его пропускает и переходит к заголовку PE.
Во-вторых, e_sp - это начальное значение sp. Служит для задания размера стека во времена DOS, вернее для принудительного уменьшения.
В третьих это SP, а не ESP. 2 байта а не 4 байта.

[Winexcel]

Цитата:

Сообщение от Pavia

Во первых это заголовок exe файла для DOS. Выполняется только в ДОС, виндоус его пропускает и переходит к заголовку PE.
Во-вторых, e_sp - это начальное значение sp. Служит для задания размера стека во времена DOS, вернее для принудительного уменьшения.
В третьих это SP, а не ESP. 2 байта а не 4 байта.

Мне бы даже начальное значение получить , значит это выполнено не будет, и копать сюда не стоит, спасибо.

[Пепел Феникса]

Цитата:

Сообщение от Winexcel

Мне бы даже начальное значение получить , значит это выполнено не будет, и копать сюда не стоит, спасибо.

начальное вам ничем не поможет(у каждого потока оно свое+текущее может улететь далеко+в винде оно не так фиксировано), и имейте в виду, регистры есть у потоков, а не у процессов.
если же вы внедряетесь вам дадут esp готовый.
иначе отладчик. как я много раз говорил, не пытайтесь молоток засунуть себе в одно место, им все же гвозди надо забивать.

если расскажете о цели может и подробнее советы дать.