Forum: Win32/Win64 API (native code)
by Assarbad,
4. Dez 2016
Warum soll die nicht im gleichen Prozeß sein? Ich parse ja schließlich die IAT der kernel32.dll in genau dem Prozeß in dem ich die Funktion hooken will.
Das Problem ist ja auch weniger ASLR, denn wenn ich auf die Adressen zugreife, müßten sie ja zugreifbar sein. Letzten Endes müssen Funktionsaufrufe innerhalb kernel32.dll exakt den gleichen Weg nehmen. Also selbst wenn es ein Resultat von ASLR...
Forum: Win32/Win64 API (native code)
by Assarbad,
4. Dez 2016
Dank dir. Hab das direkt mal behoben. Bitbucket mag wohl keine absoluten URIs im reStructuredText, also bin ich wieder auf absolute URLs ausgewichen.
Forum: Win32/Win64 API (native code)
by Assarbad,
3. Dez 2016
Moin, also das mit dem Offset schien nicht hinzukommen, oder ich hab's falsch gemacht.
Einerlei, ich hab jetzt ne alte Methode benutzt. Und da ich das nur für Versionen vor Vista brauche, klappt diese meine alte Methode noch. Dabei ermittle ich über GetProcAddress die Adresse der Funktion LdrFindResource_U und suche die dann in der FirstThunk-Liste. Muß das noch auf Windows 2000 und...
Forum: Win32/Win64 API (native code)
by Assarbad,
28. Nov 2016
Das ist ein guter Ansatz. Gucke ich direkt mal nach.
Allerdings würde ich ja dennoch erwarten in der IAT die echten Adressen zu sehen. Ich glaub ich muß da nochmal mit IDA ran.
Forum: Win32/Win64 API (native code)
by Assarbad,
28. Nov 2016
Jenau! Schrieb ich ja auch schon. Und zwar geht es um die äußerst unzuverlässigen Funktionen um verschiedene Ressourcentypen zu laden, bzw. die Funktion aus ntdll.dll welche als Unterbau benutzt wird. Damit will ich die Auswahl der richtigen Sprache in einem Modul gewährleisten. Microsoft hat nämlich leider alles rund um Sprachauswahl bis Windows Vista (exklusive) verbockt. Daher auch immer deren...
Forum: Win32/Win64 API (native code)
by Assarbad,
27. Nov 2016
Also, ich würde gern die IAT von kernel32.dll zur Laufzeit patchen um eine bestimmte Funktion aus ntdll.dll zu ersetzen (wenn IAT nicht klappt, erledige ich das inline über nen Hook). IAT scheint mir mit dem geringsten Aufwand verbunden. Leider bin ich auf ein paar Stolpersteine gestoßen.
Auf einem weitgehend gepatchten Windows 7 x64 mit einem 32-bittigen Prozeß bekomme ich bspw. kernel32.dll...
