Im Moment habe ich leider keine Zeit, mir das genauer anzusehen.
Aber da die Systembibliotheken in neueren Windows-Versionen reloziert werden können, würde ich mir den Unterschied zwischen ursprünglicher und tatsächlicher Basisadresse ansehen...

Das ist ein guter Ansatz. Gucke ich direkt mal nach.

Allerdings würde ich ja dennoch erwarten in der IAT die echten Adressen zu sehen. Ich glaub ich muß da nochmal mit IDA ran.

Moin, also das mit dem Offset schien nicht hinzukommen, oder ich hab's falsch gemacht.

Einerlei, ich hab jetzt ne alte Methode benutzt. Und da ich das nur für Versionen vor Vista brauche, klappt diese meine alte Methode noch. Dabei ermittle ich über GetProcAddress die Adresse der Funktion LdrFindResource_U und suche die dann in der FirstThunk-Liste. Muß das noch auf Windows 2000 und x64-Versionen testen und dann ist es auch schon reif für den nächsten Release.

Code und Programme findet ihr hier: ntobjx.

Der Link zur Dokumentation auf der Seite geht nicht: 404.

Dank dir. Hab das direkt mal behoben. Bitbucket mag wohl keine absoluten URIs im reStructuredText, also bin ich wieder auf absolute URLs ausgewichen.

Mal ein Schuss ins Blaue: sind die Adressen (aus IAT) und die virtuellen Adresse mit denen du die vergleichst alle aus dem gleichen Prozess? Wenn man nicht daran denkt, kann Adressraum-Randomisierung für Verwirrung sorgen ... ich weiß aber nicht wie die in Windows umgesetzt ist.

Warum soll die nicht im gleichen Prozeß sein? Ich parse ja schließlich die IAT der kernel32.dll in genau dem Prozeß in dem ich die Funktion hooken will.

Das Problem ist ja auch weniger ASLR, denn wenn ich auf die Adressen zugreife, müßten sie ja zugreifbar sein. Letzten Endes müssen Funktionsaufrufe innerhalb kernel32.dll exakt den gleichen Weg nehmen. Also selbst wenn es ein Resultat von ASLR wäre, sollten die Adressen ja zugreifbar sein. Sonst macht auch ASLR keinen Sinn, sondern nur Abstürze