Mensajes

Gracias a todos, por fin lo pude hacer xD, basicamente es restarle a la direccion de la funcion a llamar el offset actual + 5

restando, y si es negativo seria hacia atras. recuerda que para leer tu un numero hex. tienes que invertirlo.
ej:

a2aaeeff se leeria 0xFFEEAAA2

Saludos

Si, eso ya lo sabia que habia que leerlos al reves, pero bueno, sigo sin aclararme que hay que restar a que XD, igual, mañana por la mañana lo mirare por que ahora con la hora que es tengo mi calculadora bastante espesa xD

pero que necesitas cambiar este call  CALL 00434AE0  a un de tu codigo? este codigo esta en una dll?

Si, el CALL a la nueva direccion sera una direccion de una DLL

entonces, usa la que tu dijiste, es relativa a la siguiente instrucción. el uno seria el primer vite de la siguiente o algo asi.

Saludos

Ese es el problema, que no se como calcularlo xD, he estado haciendo varias sumas y restas y ninguna me da lo que creo que me tiene que dar.

Código (asm) [Seleccionar] Expandir


0054A033   . 52             PUSH EDX
0054A034   . 83C1 0C        ADD ECX,0C
0054A037   . 03FD           ADD EDI,EBP
0054A039   . E8 A2AAEEFF    CALL 00434AE0
0054A03E   . 8B00           MOV EAX,DWORD PTR DS:[EAX]
0054A040   . 50             PUSH EAX
0054A041   . 57             PUSH EDI


Por que en ese CALL a 0x00434AE0 los 4 bytes siguientes al E8 son 0xA2AAEEFF? es lo que no se resolver.

mira esto.

        E8 cw CALL rel16 Call near, relative, displacement relative to next instruction
        E8 cd CALL rel32 Call near, relative, displacement relative to next instruction
        FF /2 CALL r/m16 Call near, absolute indirect, address given in r/m16
        FF /2 CALL r/m32 Call near, absolute indirect, address given in r/m32
        9A cd CALL ptr16:16 Call far, absolute, address given in operand

        9A cp CALL ptr16:32 Call far, absolute, address given in operand
        FF /3 CALL m16:16 Call far, absolute indirect, address given in m16:16
        FF /3 CALL m16:32 Call far, absolute indirect, address given in m16:32

puedes usar relativos y no relativos
El que creo que te puede ir mejor es el de FF15 call no relativo

Saludos

Si, ya habia visto eso buscando en google, el problema es que no puedo pasar de 5 bytes ya que tengo que sobreescribir un CALL en un ejecutable para que apunte al mio, (no es hooking, puedo hacerlo como si fuera hooking pero prefiero hacerlo de esta manera, ya que para lo que quiero hacer es mas limpio)

Vereis, estoy programando X programa y para ello necesito llamar a una funcion "dinamicamente", o sea, tengo que generar el codigo binario a partir de un unsigned long que contiene la direccion de la funcion a llamar, la verdad es que nunca habia echo esto, por lo tanto al igual que hice con el push, hice esto.

Código (cpp) [Seleccionar] Expandir


BYTE CallSignature[5];

CallSignature[0] = 0xE8; //! CALL opcode
*(DWORD*)( CallSignature + 1 ) = dwFunctionAddress;


Pero en ese momento me di cuenta de que las direcciones de los calls son relativas y no absolutas, estuve buscando por google y no encontre nada que me aclarara como calcular la direccion.

Alguien tiene idea de como calcular la direccion que habria que poner justo despues del 0xE8?

segun parece en VB6 no se pueden sobrecargar operadores solo en vb.net

necesitas tener un HWND y en el caso de que no lo especifiques tomara el de la ventana del thread actual, mas que nada lo necesitas por que esa ventana necesita procesar el mensaje WM_TIMER

SetThreadAffinityMask

siempre quise saber como modificar la lista de handles de Windows pero nunca encontre nada al respecto, hendrix tienes algun link donde expliquen algo? 

Aqui tienes: http://www.uninformed.org/?v=3&a=7&t=txt

Un Saludo 

Gracias Hendrix, ya se como funciona el tema de los handles, aver si consigo hacer algo