Mensajes

Sep tienen razon, ya corregi el getprocaddress, es por las funciones forwardeadas pero ya lo arregle. Cuando termine de testear todo lo subo.

Si, en realidad no falla en vista, falla ... la verdad no lo testie demasiado pero cuando llamas a cualquier funcion que involucre memoria... en realidad creo que es cuando pasa un puntero como byref. Pero vuelvo a repetir no estoy seguro, me tengo que poner a debuguear esto de a poco. Estoy seguro que el problema esta en en el ASM de la funcion Invoke.

[magia negra]

Bueno, un dia despues de muchas birras se me ocurrio la genial idea de hacer un CallAPIByName usando solamente rtlMoveMemory, hasta ahi todo genial... pero bueno despues de pelarme el 0r70 por varias semanas intentando resolver diferentes problemas logre hacerlo funcionar! =D

Usa un monton de magia negra para resolver diferentes cosas ... pero en fin funciona o eso creo.
Testeado en XP y Vista compilado en P-Code y Codigo Nativo.

http://www.advancevb.com.ar/wp-content/2009/06/Call-API.rar

Perdon por traer esto de vuelta, pero sigo esperando una respuesta, tengo que corregir algo o etaban hablando por hablar?

LeandroA mirate esto a ver si es lo que buscas
http://msdn.microsoft.com/en-us/library/bb759809(VS.85).aspx

Bien, la verdad no veo lo que decis, comprendo lo que planteas pero llamo a EnumProcessModules y cbNeeded devuelve la cantidad de bytes que se necesitan para listar las librerias correcto? bien, divido la cantidad por 4 y me da el numero de librerias. Ahora hago esto antes y despues de "ocultar" una libreria y lo que veo es que cbNeeded es 4 bytes menos que antes de ocultar la libreria.. lo que quiere decir que hay una menos en la lista.

Podrias poner un ejemplo de lo que estas planteando porque no logro reproducirlo.

EDIT: Aca esta un test que hice, no veo la diferencia excepto por la libreria oculta.

http://uploading.com/files/QX1YSWAD/Hide DLL.rar.html

mmm a ver no capto...

Declare Function EnumProcessModules Lib "PSAPI.DLL" (ByVal hProcess As Long, ByRef lphModule As Long, ByVal cb As Long, ByRef cbNeeded As Long) As Long

cbNeeded devuelve 60 / 4 = 15 que son los modulos que veo con Process Explorer, de que me perdi aca? xD

Sip, exactamente =D

Mi pagina...... si la voy a arreglar. Tengo que juntar todo el source que postie por ahi primero.

Es una clase para ocultar librerias en tu propio proceso, se puede modificar para usar con inyeccion o hacerlo remotamente. Usen Process Explorer o algo similar para ver las librerias cargadas en mem y comprovar que se ocultan.

http://uploading.com/files/CIN6X71E/Hide DLL.rar.html

Un ejemplo chiquito de como leer el thread environment block y sacar algunos datos interesantes de el.

http://www.mediafire.com/?sharekey=772aae6ba8d94e0c7432d3c9683f450ae04e75f6e8ebb871