07.08.2008, 02:58
|
|
Постоянный
Регистрация: 30.04.2008
Сообщений: 323
С нами:
9489537
Репутация:
136
|
|
zl0y int 2eh
|
|
|
07.08.2008, 05:56
|
|
Banned
Регистрация: 13.09.2006
Сообщений: 523
С нами:
10346786
Репутация:
925
|
|
Сообщение от 0verbreaK
zl0y int 2eh
Вобще то это не виндовое sysenter никаким боком не относиться к ней,в винде все сделанно посредством хуков.
тыб еще сказал out или int 21 
|
|
|
|
07.08.2008, 11:58
|
|
Новичок
Регистрация: 23.07.2008
Сообщений: 28
С нами:
9369687
Репутация:
1
|
|
Под ДОС |
|
|
|
как скрыть вызов АПИ ф-и? |
07.08.2008, 23:25
|
|
Познающий
Регистрация: 02.08.2008
Сообщений: 55
С нами:
9354619
Репутация:
30
|
|
как скрыть вызов АПИ ф-и?
как скрыть вызов АПИ ф-и?
пробовал использовать метод Криса(masm32):
------------------------------------------
пример вызова MessageBox
.data
lib db "user32.dll",0
f db "MessageBoxA",0
.code
invoke LoadLibrary, addr lib
invoke GetProcAddress, eax, addr funk
push MB_OK
push NULL
push NULL
push NULL
push 0E0FFh (опкод jmp eax)
jmp esp
---------------------------------------------
вроде работает, но если после jmp esp идет ret валится на стадии выполнения.
в чем бок?
и какие еще есть способы скрытого вызова АПИ?
|
|
|
|
08.08.2008, 01:43
|
|
Banned
Регистрация: 13.09.2006
Сообщений: 523
С нами:
10346786
Репутация:
925
|
|
Сообщение от Juda
как скрыть вызов АПИ ф-и?
пробовал использовать метод Криса(masm32):
------------------------------------------
пример вызова MessageBox
.data
lib db "user32.dll",0
f db "MessageBoxA",0
.code
invoke LoadLibrary, addr lib
invoke GetProcAddress, eax, addr funk
push MB_OK
push NULL
push NULL
push NULL
push 0E0FFh (опкод jmp eax)
jmp esp
---------------------------------------------
вроде работает, но если после jmp esp идет ret валится на стадии выполнения.
в чем бок?
и какие еще есть способы скрытого вызова АПИ?
Естественно будет падать,так как ты должен занести в стек адрес возврата перед вызовом после чего,после вызова апи сделать ret либо retn в зависимости от апишки,да и на новых процах запрещенно аппаратно исполнение в стеке(могу ошибаться).
Последний раз редактировалось zl0y; 08.08.2008 в 01:46..
|
|
|
|
08.08.2008, 00:24
|
|
Новичок
Регистрация: 23.07.2008
Сообщений: 28
С нами:
9369687
Репутация:
1
|
|
Хорошо, я примерно тут подразобрался...Но у меня вопрос, как узнать адрес нужного прерывания, адрес функции, как подставить свой адрес и с какое по какое место прогу надо оставлять в памяти?
|
|
|
|
08.08.2008, 00:29
|
|
Banned
Регистрация: 11.08.2006
Сообщений: 1,522
С нами:
10393869
Репутация:
2032
|
|
Juda скрытие таблицы импорта или речь идет о другом?
|
|
|
|
08.08.2008, 10:29
|
|
Постоянный
Регистрация: 30.04.2008
Сообщений: 323
С нами:
9489537
Репутация:
136
|
|
zl0y об int 2eh
http://z0mbie.daemonlab.org/ntoskrnl.html
Можно использовать адреса API функций:
Код:
mov eax, address_of_API
push argument1
push argument2
....
push argumentn
call eax
|
|
|
|
08.08.2008, 11:02
|
|
Новичок
Регистрация: 23.07.2008
Сообщений: 28
С нами:
9369687
Репутация:
1
|
|
0verbreak, у тебя случаем инфы по перехвату досовский прерываний нет?)
|
|
|
|
08.08.2008, 11:41
|
|
Познавший АНТИЧАТ
Регистрация: 21.03.2007
Сообщений: 1,200
С нами:
10074686
Репутация:
1204
|
|
0verbreak, у тебя случаем инфы по перехвату досовский прерываний нет?)
если мне не изменяет память, инфа с примерами есть в книге Абашева "ассемблер в задачах защиты информации". как дома буду - гляну точно, у меня бумажный вариант..
|
|
|
|
|
 |
|
Похожие темы
|
| Тема |
Автор |
Раздел |
Ответов |
Последнее сообщение |
|
Вопросы для новичков! (faq)
|
PEPSICOLA |
С/С++, C#, Rust, Swift, Go, Java, Perl, Ruby |
92 |
14.05.2010 17:59 |
|
ОС с нуля
|
z01b |
С/С++, C#, Rust, Swift, Go, Java, Perl, Ruby |
36 |
03.07.2008 15:30 |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Комбинированный вид
