Mensajes

Hola

El número de bytes que necesita una variable de tipo apuntador no depende del tipo de dato que apunta, un apuntador siempre necesitará 4 bytes

O.o ? si es en 32 bits 4, si es en 64 bits 8... un puntero representa una dirección de memoria, lee algo de direcciones de memoria...

S2

El ".dll" no es necesario para llamar a GetModuleHandle ni a LoadLibrary, si no se especifica extensión la API toma por defecto siempre ".dll" .

si y no, lo que pasa es que tengo mi custom GetModuleHandle también y para no tener que comprobar dos veces en la misma busco la dll con el nombre completo , pero si, si usás el GetModuleHandle original no es necesario...

S2

sin entrar al modo kernel... en modo usuario tenes varias formas, algunas ya descriptas... para los bp comunes tenes la opción de generar un hash del code y cada x tiempo comprobar que sea igual, para los MBP puedes comprobar (como ya dijeron) los permisos sobre los espacios de memoria, y para los HBP comprobar el registro CONTEXT, fuera de eso, creo que lo mejor para evitar intrusiones es evitar que ocurran (es mejor prevenir que curar... ) por lo que el tema sería evitar que puedan abrir tu programa con un depurador...

S2

hay dos problemas con el código, 1º que no tiene en cuenta los imports que usan ordinal en vez de nombres y el segundo son los Forwarder imports

acá tienen una versión que hice de un "full"  GetProcAddress manual:

Código (c) [Seleccionar] Expandir

FARPROC WINAPI GetProcAddress(HMODULE hModule,LPCSTR lpProcName){
 DWORD index,dwExportSize,dwOrdinal=0;
 if(!hModule)return NULL;
 PIMAGE_DOS_HEADER pDosHeader;
 PIMAGE_NT_HEADERS pNTHeader;
 PIMAGE_EXPORT_DIRECTORY pExportDir;
pDosHeader=(PIMAGE_DOS_HEADER)hModule;
if(pDosHeader->e_magic!=IMAGE_DOS_SIGNATURE)
return NULL;
 pNTHeader=RVAPTR(PIMAGE_NT_HEADERS,pDosHeader,pDosHeader->e_lfanew);
if(pNTHeader->Signature!=IMAGE_NT_SIGNATURE)
return NULL;
 pExportDir=RVAPTR(PIMAGE_EXPORT_DIRECTORY,pDosHeader,pNTHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);
 dwExportSize=pNTHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].Size;
 if(!pExportDir)
   return NULL;
 PCHAR* pszName=RVAPTR(PCHAR*,pDosHeader,pExportDir->AddressOfNames);
 PDWORD pdwAddress=RVAPTR(PDWORD,pDosHeader,pExportDir->AddressOfFunctions);
 PWORD pwOrdinals=RVAPTR(PWORD,pDosHeader,pExportDir->AddressOfNameOrdinals);
 if(!pszName||!pwOrdinals||!pdwAddress)
   return NULL;
 if(HIWORD(lpProcName)==0){
   // Look up by ordinal
   dwOrdinal=(LOWORD((DWORD)lpProcName)-pExportDir->Base);
 }else{
   // Look up by name
   for(index=0;index<pExportDir->NumberOfNames;index++){
     if(!lstrcmpA(RVAPTR(PCHAR,pDosHeader,pszName[index]),lpProcName)){
       dwOrdinal=pwOrdinals[index];
       break;
     }
   }
 }
 //Get Func Address
 DWORD dwFunction=RVAPTR(DWORD,pDosHeader,pdwAddress[dwOrdinal]);
 // Let's Check if is Forwarder
 if((dwFunction>(ULONG_PTR)pExportDir)&&(dwFunction<((ULONG_PTR)pExportDir+dwExportSize))){
   CHAR ForwarderDllName[MAX_PATH],*ForwardImportName;USHORT len;
   ForwardImportName=strchr((LPSTR)dwFunction,'.');
   len=ForwardImportName++-(LPSTR)dwFunction;
   strncpy(ForwarderDllName,(LPSTR)dwFunction,len);
   strcpy(&ForwarderDllName[len],".dll");
   // Find the module associated to it (should be already loaded)
   return GetProcAddress(GetModuleHandleA(ForwarderDllName),ForwardImportName);
 }
 return (FARPROC)dwFunction;
}

capaz lo pueden adaptar...

S2

[LPCTSTR]

hola

una pregunta, casi siempre e programado con MingW en windows, ahora quise usar Visual Studio 2010 y dejar GCC para linux

quise hacer un hook rapido a MessageBoxA, para ejecutar el clasico mensaje de hola mundo y probar como funciona, ya que siempre trabaje con codeblocks

Código (c) [Seleccionar] Expandir

#include <stdio.h>
#include <stdlib.h>
#include <Windows.h>

typedef int (CALLBACK *MSBX)(HWND, LPCTSTR, LPCTSTR, UINT);

int main(int *argv, char *argc){

HMODULE han;
MSBX msgbox;

han = LoadLibrary(L"User32.dll");
msgbox = (MSBX)GetProcAddress(han, "MessageBoxA");

msgbox(NULL,"mensaje","exito!!", NULL);

}

pero tengo una duda, como arreglo o cual es la nueva forma de llamar ciertas cosas por ejemplo

LoadLibrary, asi encontre que tenia que hacerlo funcionar

Código [Seleccionar] Expandir

han = LoadLibrary(L"User32.dll");

pero para que es esa "L"?...

Código [Seleccionar] Expandir

han = LoadLibrary(L"User32.dll");

ahora me aparece marcado esto

Código [Seleccionar] Expandir

msgbox(NULL,"mensaje","exito!!", NULL);

"mensaje" y "exito!!"

si lo dejo asi, me aparece bien el mensaje, pero para quitar el mensaje de error, tengo que poner igual "L", tambien encontre que con "_T"... pero no me funciono

el mensaje de error es sobre puntero a char* que no es compatible con LPCTSTR

y con MingW y codeblocks nunca tuve ese problema, que podria hacer para solucionarlo? y si puede solucionar permanentemente o es algo que siempre tendre que ver como arreglarlo?

salu2

el problema es la definición que usás para el tipo de argumento que vas a utilizar:

LPCTSTR -> es un formato "variable" dependiendo si está o no definido UNICODE

si está definido UNICODE (dentro de los parámetros del proyecto lo encontrás) entonces la definición

LPCTSTR -> se traduce en -> LPCWSTR (puntero a wide string)

si no está definido UNICODE entonces

LPCTSTR -> se traduce en -> LPCSTR (puntero a ansi string)

y en tu definición llamada a getprocaddres:

Código (c) [Seleccionar] Expandir

msgbox = (MSBX)GetProcAddress(han, "MessageBoxA");

vos buscás la versión ansi (MessageBoxA)

también existe la versión wide

Código (c) [Seleccionar] Expandir

msgbox = (MSBX)GetProcAddress(han, "MessageBoxW");

por lo tanto, si queres que tu code se compatible tanto con wide string como con ansi string, te convendría hacer algo como:

Código (c) [Seleccionar] Expandir

#ifdef UNICODE
msgbox = (MSBX)GetProcAddress(han, "MessageBoxW");
#else
msgbox = (MSBX)GetProcAddress(han, "MessageBoxA");
#endif

entonces podrías llamar a tu función de la forma:

Código (c) [Seleccionar] Expandir

msgbox(NULL,:_T("mensaje"),_T("exito!!"), NULL);

sino, si solo te interesa utilizar ansi, tendrías que redefinir tu puntero a función:

Código (c) [Seleccionar] Expandir

typedef int (CALLBACK *MSBX)(HWND, LPCSTR, LPCSTR, UINT);

S2

si lo vas a imprimir en la consola OBVIO solo se imprimira la 1ra letra (si existiese) pues cada letra puede que este separada por bytes '\0' (nulos) es decir los que indican el final de una cadena ANSI... prueba a mostrarla con un MessageBoxW()... o checa la memoria...

no necesariamente, puedes escribir texto unicode en la consola usando "%ws" (WideString):

Código (c) [Seleccionar] Expandir

printf("%ws",L"texto unicode");

S2

[EDIT]

Karman XD k raro encontrarte por ak
sólo agarré tu code y lo puse en el visual c y lo compilé así,
sólo un cambio hice, pasa que lo hice en el Visual Studio 6.
vos seguro usás el 2010, lo tengo para instalar todavia :/

Código [Seleccionar] Expandir


class XX{
public:
};

class XY{
public:
};

//typedef void (XX::* pfun)(void);
typedef int (XX::* pfun)(int);

class X:public XX,XY{
public:
int ff(int a){
return a;
}
static pfun f;
static struct _t{
pfun f;
}t;
};

pfun X::f= pfun(&X::ff);
struct X::_t X::t={pfun(&X::ff)};

int main(){

//ilegal dentro de este ámbito
//pfun X::f=pfun(&X::ff);
//struct X::_t X::t={pfun(&X::ff)};


return 0;

}


ya lo solucioné... al parecer en el VS 2010 hay que forzar dos casts... uno de método a clase y otro de método a método... (aunque es medio chot...)

Código (cpp) [Seleccionar] Expandir

class XX{
public:
};

class XY{
public:
};

typedef void (XX::*pfun)(void);

class X:public XX,XY{
public:
int ff(int a){
return a;
}
static pfun f;
static struct _t{
pfun f;
}t;
};

pfun X::f=pfun((int(XX::*)(int))&X::ff);//??????
struct X::_t X::t={pfun((int(XX::*)(int))&X::ff)};//??????


int main(int argc, char* argv[]){
X a;
a.t.f=pfun((int(XX::*)(int))&X::ff);
return 0;
}

EDIT: (Otro Caso)

Código (cpp) [Seleccionar] Expandir

class XX;

typedef void (XX::*pfun)(void);

class XX{
public:
void set(pfun fun){
f=fun;
}
pfun f;
};

class XZ{
};

class XW{
};

class XY:public XZ,XW{
};

class X:public XY{
public:
X(){
//a.set(pfun(&X::ff));//tira el mismo error anterior
a.set(pfun((void(XZ::*)(void))(&X::ff)));
}

void ff(void){}
static XX a;
};

a ver si alguien conoce otra solución...

S2

Buenas, estoy haciendo un programa con clases y me encontré con una incompatibilidad muy rara de Visual C, el siguiente código funciona perfectamente con GCC pero con Visual C me da error :S

Código (cpp) [Seleccionar] Expandir

class XX{
public:
};

class XY{
public:
};

typedef void (XX::*pfun)(void);

class X:public XX,XY{
public:
int ff(int a){
return a;
}
static pfun f;
static struct _t{
pfun f;
}t;
};

pfun X::f=pfun(&X::ff);//??????
struct X::_t X::t={pfun(&X::ff)};//??????

1>main.cpp(28): error C2440: '<function-style-cast>' : no se puede realizar la conversión de 'int (__thiscall X::* )(int)' a 'pfun'
1>          Los punteros a miembros tienen distintas representaciones; no se puede realizar la conversión entre ellos
1>main.cpp(29): error C2440: '<function-style-cast>' : no se puede realizar la conversión de 'int (__thiscall X::* )(int)' a 'pfun'
1>          Los punteros a miembros tienen distintas representaciones; no se puede realizar la conversión entre ellos

si utilizo herencia simple funciona... el tema es con la herencia múltiple:

Código (cpp) [Seleccionar] Expandir

class X:public XX,XY

alguno que utilice ese compilador me puede tirar un cable?

S2

fijate este código, sirve para detectar algunos tipos de hooks (en modo usuario) inyectando una dll (aunque también se puede hacer sin inyectar)...

Hook Finder

S2

Pues debido a que uso Dev C++, me veo obligado a entrar en el tema, no niego nada de lo que digas porque no se nada sobre compiladores y si están actualizados o no ,etc.

Cuál recomendáis, yo quiero un editor y compilador en el mimso programa, todo junto, para Windows. La interfaz me da igual, todo es acostumbrarse

code::blocks fue y es su actual reemplazante... la única diferencia es que está en ingles...

S2