Duda con GetProcAddress

.:UND3R:. · 8 Agosto 2011, 03:57 AM

Hola, tengo una pequeña duda con esta api, les cuento:

necesito que ecx me devuelva la dirección de la API ntdll.KiFastSystemCallRet

por lo que se me ocurrió saberlo con GetProcAddress, los parámetros son:

FARPROC GetProcAddress(

HMODULE hModule,   // handle to DLL module
LPCSTR lpProcName    // name of function

PUSH KiFastSystemCallRet
PUSH Manejador de ntdll
Call GetProcAddress

pero el manejador tengo entendido que se obtiene con GetModuleHandle:

HMODULE GetModuleHandle(

LPCTSTR lpModuleName    // address of module name to return handle for
);

pero mi duda es que pongo cuando llame a esa API?, no me quedó claro

PD:no sé ASM

Saludos jeje

edit: en palabras fáciles como obtengo el adress de ntdll.KiFastSystemCallRet desde el olly

Saludos

tena · 8 Agosto 2011, 05:22 AM

Solo pushea el puntero a la string de la dll que queres saber su direccion.
A la string la podes escribir vos.

slds

.:UND3R:. · 8 Agosto 2011, 08:02 AM

por lo que me comentaste entonces si por ejemplo yo hago:

push ntdll.KiFastSystemCallRet si pongo esto en ollydbg en el ensamblador, en cualquier computador funcionaría? ya que ese es mi objetivo

Saludos

_Enko · 8 Agosto 2011, 15:26 PM

Citarntdll.KiFastSystemCallRet

te serviria solamente si pones FOLLOW IN DUMB>>Inmdiat constante y te aparece la cadena que necesitas, en este caso "KiFastSystemCallRet\0"

MCKSys Argentina · 8 Agosto 2011, 18:14 PM

Para GetModuleHandle necesitas PUSHear un puntero a la string "NTDLL.DLL". Asi obtienes la ImageBase (hModule) del modulo.

Ya con eso puedes llamar a GetProcAddress, pasandole el valor anterior y otro puntero al nombre de la funcion "KiFastSystemCallRet".

Y listo...

.:UND3R:. · 8 Agosto 2011, 19:35 PM

Perfecto, Todo aclarado muchas gracias, saludos

Test Foro de elhacker.net SMF 2.1

Duda con GetProcAddress

.:UND3R:.

tena

.:UND3R:.

_Enko

MCKSys Argentina

.:UND3R:.