AW: IAT von kernel32.dll zur Laufzeit patchen
 

Dank dir. Hab das direkt mal behoben. Bitbucket mag wohl keine absoluten URIs im reStructuredText, also bin ich wieder auf absolute URLs ausgewichen.

AW: IAT von kernel32.dll zur Laufzeit patchen
 

Mal ein Schuss ins Blaue: sind die Adressen (aus IAT) und die virtuellen Adresse mit denen du die vergleichst alle aus dem gleichen Prozess? Wenn man nicht daran denkt, kann Adressraum-Randomisierung für Verwirrung sorgen ... ich weiß aber nicht wie die in Windows umgesetzt ist.

AW: IAT von kernel32.dll zur Laufzeit patchen
 

Warum soll die nicht im gleichen Prozeß sein? Ich parse ja schließlich die IAT der kernel32.dll in genau dem Prozeß in dem ich die Funktion hooken will.

Das Problem ist ja auch weniger ASLR, denn wenn ich auf die Adressen zugreife, müßten sie ja zugreifbar sein. Letzten Endes müssen Funktionsaufrufe innerhalb kernel32.dll exakt den gleichen Weg nehmen. Also selbst wenn es ein Resultat von ASLR wäre, sollten die Adressen ja zugreifbar sein. Sonst macht auch ASLR keinen Sinn, sondern nur Abstürze :mrgreen:

AW: IAT von kernel32.dll zur Laufzeit patchen
 

Dann hätten wir wen, dem wir viele Abstürze zuschieben könnten. :twisted:

AW: IAT von kernel32.dll zur Laufzeit patchen
 

Ich hab verpasst, dass die Adressen anscheinend relativ sind. Von Detailfragen unter Windows habe ich keine Ahnung und per-Prozess Import-Tabellen wären ja durchaus geeignet, um positionsunabhängigen Code zu implementieren.

Einfach überprüfbare Ursachen zuerst ausschließen, also nichts für ungut :wink: