Mensajes

si es uno de uso general casi seguro altera la api QueryPerformanceCounter, dandole valores falsos, dale un ojo y sabras por donde tirar.

logicamente que la api de windows lo hace, pero no es el caso y terminas en el kernel pasandole el servicio X y el kernel es API del mismo sistema, por lo tanto lo que quiero decir es que terminara usandola de algun modo. ese ejemplo es "valido" pq lo hace el propio sistema asi y no es dependiente de ninguna otra funcion, falta la escritura al fichero y el MessageBox sin tocar una sola dll del sistema.

es lo mismo que isdebuggerpresent que existe la funcion, pero simplemente retorna un campo del peb y listo, cosa que puedes hacer perfectamente desde tu propia aplicacion sin llamar a dll alguna. vale entonces cedo pero un poquito, se puede hacer con alguna funcion en concreto, pero no puedes hacer una aplicacion sin pasar por la api del sistema.

Y no es asi, donde apunta el jump hay una funcion y no el codigo original. ¿Se entiende la diferencia? No tiene ninguna necesidad de estar ahi cerca, si el hook esta en una FUNCION de una DLL entonces el codigo original no estara ahi en la sección .code de la DLL por logica pura.

dije "por ahi estara", queriendo decir que puede estar el codigo dentro de la funcion (no es la primera vez que lo he visto) o un puntero a los bytes reales, como dije depende del soft hay que estudiarlo y es practicamente sencillo obtener la direccion para no tener que pasar por el hook. pero vamos eso es otro tema.

"sin tener que pasar por sus .DLLs"

Logicamente y pasar por un sitio no es entrar por la puerta, puedes pasar por delante de mi casa sin entrar o puedes entrar por la ventana, de todos modos has pasado por ahi. o lo que es lo mismo, puedo comer huevo frito, en tortilla, con patatas o como a cada uno mas le guste, pero termina comiendo huevo.

Tal y como lo pide ya di una forma de hacerlo sin pasar por ninguna DLL, despues si vos queres llamar API a cualquier funcion de Windows (hay muchos servicios NO EXPORTADOS, sinceramente es complicado llamar API a eso) podes decir eso, si llamas API a lo que es la API no necesariamente se cumple, como ya explique antes la transicion al Kernel la podes hacer vos directamente, si haces int 2Eh/syscall/systenter no pasas por ninguna DLL jamas.

Vale entonces un pequeño programa NO LINKADO a una sola dll, tampoco vale obtener con getprocaddress. que cree un fichero, escriba algo muestre un MessageBox y salga. cuando vea eso sin usar una sola dll entonces admitire que si puede usarla de forma opcional o con mas trabajo pasar olimpicamente del sistema.

[sin tener que pasar por sus .DLLs]

Seguro pero el salto al comienzo de la funcion hookeada no va ahi, me atreveria a decir que siempre va a otra funcion que hace algo al menos (sino no tiene sentido hookear) y el codigo original puede estar en cualquier lado mas o menos cerca pero nunca ahi mismo.

logico, creo que no me entendiste logicamente sabiendo que funcion tenemos es sencillo buscar si dentro de la redireccion se encuentra el codigo original. pero el quiere sin usar ninguna ninguna funcion de windows.

Partimos de diferente nomenclatura pero el se refirio a DLLs y APIs y se entiende como API de Windows el subsistema de ventanas (ni el Kernel ni la parte del subsistema de ventanas en modo Kernel en XP, al cual la API termina llamando, son .DLLs)

Cito tal cual escribio en su primer mensaje:

habrà alguna manera kizas de trabajar mas directo con la computadora a mas bajo nivel, sin tener que pasar por sus .DLLs (APIs)

tal como lo pide, aun ejecutando tu los bytes que quito el jmp o los saques del fichero en disco, vas a morir a una dll del sistema. el no aclaro si modo usuario o modo kernel, y API son las 2 asi que de una forma o de otra va a tener que terminar trabajando con la api del sistema.

claro esta que podemos complicarlo mas, incluso puede programar su propio SO para poder ejecutar codigo como quiera. se puede complicar lo que uno quiera, pero a la pregunta tal cual es que SI termina pasando por la api del sistema.

Normalmente NO es el caso, lo que tenes es una funcion que eventualmente llamara a o no a la original.

yo en los casos que he visto, es mas el porcentaje que guarda los bytes reales para hacer la llamada o no.

Mas que saltar es engañar a software mal hecho, desde el vamos usar hooks es un error igual, el 99% de los casos estan cubiertos por callbacks/filtros.

es lo mismo, evadir una restriccion sea de el modo que sea es saltarsela , engañar, burlar llamemosle como sea.

Código [Seleccionar] Expandir

¿Por cual API? Como poder se puede hacer la transicion a modo Kernel manualmente tal como la hace NTDLL.dll

si ¿y la ntdll no va a morir a la api del sistema?, igual estoy confundido pero me gustaria ver un MessageBox por ejemplo sin tocar en ningun caso una una dll del sistema, o borrar archivos sin hacer uso alguno de ninguna funcion modo usuario/kernel y que sea estable y funcional en todos los sistemas windows  logicamente.

PD: con api me refiero tanto en modo usuario como en modo kernel, hacer una aplicacion sin tocar en ningun caso ni una sola funcion.

¿quien dice que sea mejor?, el a dicho que prefiere usar tablas, yo en particular me siento mas comodo con div.

si es un hook simple (jmp) vas a la direccion donde apunta y tendras por ahi cerca las instrucciones reales, pero para un software en especifico hay que estudiar el caso primero.

Los hooks en modo kernel suelen tener bastantes fallos, en la zona de malware puse un ejemplo que se salta openprocess desde modo usuario. logicamente que esto no se da en el 100% pero haciendo pruebas es sorprendente la cantidad de software afectado.

PD: si te conteste, te dije que tienes que pasar por la api.

tienes que pasar por la api.

porque de esa manera creo tendria màs defensa y poder nuestra aplicacioòn contra los HOOKS.

yo creo que es al contrario, si te dan mas acceso  los virus tienen el mismo privilegio que tu, da un ojo a los virus antiguos y comparalos con los de hoy en dia y veras que diferencia en cuanto a "poder".

el compiz lo mata, como consejo lo quitaria y el que quiera que lo instale.

riki, estas posicionando el elemento centrado, se muestra tal como tu se lo pides.

http://www.w3schools.com/css/