 |
 |
 |
 |
 |
|
Antwort
|
|
|
|
Registriert seit: 11. Mai 2008 Ort: Kühlungsborn 446 Beiträge Delphi 2009 Professional |
#1
Re: Delphi Code-Injection JMP Adresse ermitteln...
20. Mai 2009, 19:02
Das kann nicht funktionieren.
Delphi-Quellcode:
Das bedeutet nicht, daß da mem durch die Adresse die in mem steht getauscht wird. Dazu müsste sich der Code selbst modifizieren zur Laufzeit. Stattdessen wird daraus:
procedure Inject;
begin asm push mem <-- Sprungstelle zum Code-Cave ... Adresse wird weiter unten im Quelltext ermittelt ret nop end; end;
Delphi-Quellcode:
Da an der Adresse im fremden Prozess aber irgendetwas steht nur wahrscheinlich nicht die Adresse der Code Cave, wird entsprechend der falsche Wert gelesen und auf den Stack gepackt
push dword ptr [Adresse von mem]
ret nop  .Lösung: Mach Inject zu nem Byte Array. In das packst die korrekten Opcodes (Intel Manual) und die korrekte Adresse zu der gesprungen werden soll und schreibst das Byte Array in den Zielprozess.
Fridolin Walther
|
Zitat
|
| Themen-Optionen | Thema durchsuchen |
| Ansicht | |
ForumregelnEs ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus. Trackbacks are an
Pingbacks are an
Refbacks are aus
|
|
Hybrid-Darstellung
