¿Cómo obtengo el RetAddress de una función que está con detour?

Iniciado por josue9243, 17 Agosto 2017, 04:01 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

josue9243

17 Agosto 2017, 04:01 AM Ultima modificación: 17 Agosto 2017, 04:05 AM por josue9243
¿Cómo obtengo el RetAddress de una función que está con detour?, ejemplo:

CreateFileA retorna el valor de el address de la función la cual lo llamo, ¿Cómo hago para obtener TODOS los ret que manda?.

EDIT: Seria como el ESI (?

BloodSharp

#1
17 Agosto 2017, 04:21 AM
Cita de: josue9243 en 17 Agosto 2017, 04:01 AM
¿Cómo obtengo el RetAddress de una función que está con detour?, ejemplo:

CreateFileA retorna el valor de el address de la función la cual lo llamo, ¿Cómo hago para obtener TODOS los ret que manda?.

Obtenés el retaddress con 2 líneas en assembler en una función y luego los vas metiendo en una lista en tu hook...

Cita de: josue9243 en 17 Agosto 2017, 04:01 AMEDIT: Seria como el ESI (?

esp o ebp y luego a eax


B#


josue9243

#2
17 Agosto 2017, 04:26 AM Ultima modificación: 17 Agosto 2017, 04:28 AM por josue9243
Pero pasame el __asm en código ;_; sino lo hubiera hecho yo jajajjaaja

si pongo:

dword myret;

__asm
{
mov esi, eax;
mov eax, myret;
}

no creo que ande D:

BloodSharp

#3
17 Agosto 2017, 04:38 AM
Cita de: josue9243 en 17 Agosto 2017, 04:26 AMsi pongo:

Código (c) [Seleccionar]
dword myret;

__asm
{
mov esi, eax;
mov eax, myret;
}

no creo que ande D:




Código (c) [Seleccionar]
DWORD STDCALL GetCaller();
asm(".globl _GetCaller;\n"
"_GetCaller:\n"
"movl 0x4(%ebp),%eax;\n"
"ret;");


B#


josue9243

#4
17 Agosto 2017, 04:39 AM
Cita de: BloodSharp en 17 Agosto 2017, 04:38 AM



Código (c) [Seleccionar]
DWORD STDCALL GetCaller();
asm(".globl _GetCaller;\n"
"_GetCaller:\n"
"movl 0x4(%ebp),%eax;\n"
"ret;");


B#

JAAJAJAJJAJAAJA

Que grande bloodsharp :v, el tema es que lo pongo en la misma función del detour?, o donde lo pondria?.

Expliquese (? ah re :V

BloodSharp

#5
17 Agosto 2017, 05:00 AM Ultima modificación: 17 Agosto 2017, 05:06 AM por BloodSharp
Cita de: josue9243 en 17 Agosto 2017, 04:39 AMQue grande bloodsharp :v, el tema es que lo pongo en la misma función del detour?, o donde lo pondria?.

Código (c) [Seleccionar]

DWORD STDCALL DondeEsta();
asm(".globl _DondeEsta;\n"
"_DondeEsta:\n"
"movl 0x4(%ebp),%eax;\n"
"retn;");

VOID Funcion(parametros...)
{
DWORD dwAquiEsta=DondeEsta();
vectorlistaAgregar(dwAquiEsta);
}


Código (asm) [Seleccionar]
alguna direccion - push parametros;
alguna direccion - call Funcion;
dwAquiEsta dir   - blablabla


Perdón pero me hiciste tentar otra vez...  :laugh:


B#


josue9243

#6
17 Agosto 2017, 18:39 PM
Sep anda, tenkiu.

Lo que pasa es que flashe que el detour lo llamaba otra cosa y re que tenia un jmp :V xD
Imprimir
Ir Arriba Páginas1
Acciones del Usuario