Bueno de nada y no hay problema, suerte con eso. Aca ya son casi las 2 AM asi que me voy a dormir, chau.
- Bienvenido a Test Foro de elhacker.net SMF 2.1.
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
#2322
Programación C/C++ / Re: Trabajo con procesos [modo kernel]
5 Diciembre 2011, 01:40 AM
Podes poner 27 directamente ... igual como te dije antes tenes que llamar a ZwQueryInformationProcess (tenes que prototiparla y ya que estas resolve la direccion dinamicamente).
#2323
Programación C/C++ / Re: Trabajo con procesos [modo kernel]
5 Diciembre 2011, 01:21 AM
Por algo dije tal y como esta, los que leemos este hilo no tenemos poderes telepaticos, solo podemos ver el codigo aca presente y el mismo no compilaria.
PD. Anda pensando en comparar el path en Unicode (lo que usa internamente Windows), no tiene sentido que hagas transformaciones a ANSI.
PD. Anda pensando en comparar el path en Unicode (lo que usa internamente Windows), no tiene sentido que hagas transformaciones a ANSI.
#2324
Programación C/C++ / Re: Trabajo con procesos [modo kernel]
5 Diciembre 2011, 01:16 AM
Tal y como esta no compila ni por error y ademas tenes un error elemental al asignar en lugar de comparar ... lo que te decia es que nunca funcionara en x64 por usar hooks.
#2325
Programación C/C++ / Re: Trabajo con procesos [modo kernel]
5 Diciembre 2011, 01:06 AM
Como decia no entendes NADA en lo absoluto. Vos lo que hookeas - con un codigo que no hiciste vos y yo conozco hace años - es NtOpenProcess en la SSDT del Kernel (NTOSKRNL.exe). Te explico yo, ves ahi donde dice IN PCLIENT_ID ClientId OPTIONAL, lo que esta en negrita significa que es un parametro de ENTRADA, eso quiere decir que el que llama a esa funcion le pasa (opcionalmente) un puntero a una estructura con el PID que quiere abrir.
Antes te deje la explicacion de la MSDN enlazada, leela y si tenes alguna duda en particular pregunta.
Antes te deje la explicacion de la MSDN enlazada, leela y si tenes alguna duda en particular pregunta.
#2326
Programación C/C++ / Re: Trabajo con procesos [modo kernel]
5 Diciembre 2011, 00:58 AM
¿Esta funcion "NewZwOpenProcess"? Esa funcion es de tu modulo (que no sirve en x64 te adelanto), la funcion del Kernel es ZwOpenProcess y la que vos hookeas en la SSDT es en realidad NtOpenProcess ... y no, no devuelve ningun PID, ese es un parametro de entrada, lo UNICO que devuelve es un HANDLE (ademas del NTSTATUS) ...
#2327
Programación C/C++ / Re: Trabajo con procesos [modo kernel]
5 Diciembre 2011, 00:38 AM
ZwOpenProcess no se usa para ejecutar nada, obtiene un HANDLE a un proceso ... el (W/D)DK se puede usar perfectamente con C++, el problema es que ese codigo que encontraste es para modo Usuario ... me da la sensacion de que no entendes muy bien que estas haciendo (copy & paste).
De cualquier manera vas a tener que obtener el HANDLE y con el podes conseguir el PEB o desde XP en adelante llamar a ZwQueryInformationProcess (si, la documentacion es para Nt* pero vos llama a Zw*) con ProcessImageFileName.
PD. Usar hooks per se es mala idea.
De cualquier manera vas a tener que obtener el HANDLE y con el podes conseguir el PEB o desde XP en adelante llamar a ZwQueryInformationProcess (si, la documentacion es para Nt* pero vos llama a Zw*) con ProcessImageFileName.
PD. Usar hooks per se es mala idea.
#2328
Programación C/C++ / Re: Error en la funcion GetModuleFileNameEx
4 Diciembre 2011, 10:46 AM
De nadas 
#2329
Programación C/C++ / Re: Error en la funcion GetModuleFileNameEx
4 Diciembre 2011, 01:35 AM
Si, en Propiedades de Configuracion>>Vinculador>>Entrada>>Dependencias Adicionales agregas un ;psapi.lib y enlaza correctamente.