Сейчас на форуме: tyns777, zds, JustLife, 2nd, morgot (+5 невидимых)

 eXeL@B —› Программирование —› PEB виста
Посл.ответ Сообщение


Ранг: 238.8 (наставник), 67thx
Активность: 0.20
Статус: Участник
CyberHunter

 Создано: 30 мая 2009 13:12 · Поправил: Flint
· Личное сообщение · #1

Собственно начало темы тут

http://exelab.ru/f/action=vthread&topic=14455&forum=6

Code:
  2. MOV ECX,0100000h
  3. MOV EAX,DWORD PTR FS:[030h]
  4. ADD EAX,8
  5. MOV DWORD PTR DS:[EAX],ECX
  6. MOV EAX,DWORD PTR FS:[030h]
  7. ADD EAX,10h; <<<<<<<<<<<<<<<<< Изменил только смещение на PEB_LDR_DATA
  8. MOV EAX,DWORD PTR DS:[EAX]
  9. ADD EAX,048h
  10. MOV DWORD PTR DS:[EAX],ECX
  11. PUSH 0
  12. CALL GetModuleHandleA
  13. PUSH 0300h
  14. PUSH offset path
  15. PUSH EAX
  16. CALL GetModuleFileNameA
  17. PUSH 0
  18. PUSH offset tit
  19. PUSH offset path
  20. PUSH 0
  21. CALL MessageBoxA
  22. PUSH 0
  23. CALL ExitProcess 

Этот код не работает на висте, т.к. после ADD EAX,048h Eax не указывает на 00400000h. В общем как это заставить работать на Висте?

-----
Nulla aetas ad discendum sera


Ранг: 462.8 (мудрец), 468thx
Активность: 0.280
Статус: Участник
Only One!

 Создано: 30 мая 2009 13:41
· Личное сообщение · #2

Flint пишет:
Этот код не работает на висте, т.к. после ADD EAX,048h Eax не указывает на 00400000h. В общем как это заставить работать на Висте?

тебе что именно надо получить из пеб? имиджбазу? или что?
конкретизируй..

-----
aLL rIGHTS rEVERSED!


Ранг: 238.8 (наставник), 67thx
Активность: 0.20
Статус: Участник
CyberHunter

 Создано: 30 мая 2009 13:42
· Личное сообщение · #3

да imagebase получить и изменить и чтобы GetModuleFileNameA после этого возвращала верный путь

-----
Nulla aetas ad discendum sera

Ранг: 255.8 (наставник), 19thx
Активность: 0.150.01
Статус: Участник
vx

 Создано: 30 мая 2009 13:49
· Личное сообщение · #4

www.nirsoft.net/kernel_struct/vista/PEB.html




Ранг: 238.8 (наставник), 67thx
Активность: 0.20
Статус: Участник
CyberHunter

 Создано: 30 мая 2009 14:03
· Личное сообщение · #5

Clerk это я уже видел, тока дело не двинулось

-----
Nulla aetas ad discendum sera


Ранг: 462.8 (мудрец), 468thx
Активность: 0.280
Статус: Участник
Only One!

 Создано: 30 мая 2009 14:07
· Личное сообщение · #6

Flint пишет:
да imagebase получить и изменить и чтобы GetModuleFileNameA после этого возвращала верный путь

Я понял имиджбазу для обычного ехе или dll?

-----
aLL rIGHTS rEVERSED!


Ранг: 67.4 (постоянный)
Активность: 0.040
Статус: Участник

 Создано: 30 мая 2009 14:12
· Личное сообщение · #7

DaRKSiDE пишет:
Я понял имиджбазу для обычного ехе или dll?

Для ехе




Ранг: 67.4 (постоянный)
Активность: 0.040
Статус: Участник

 Создано: 30 мая 2009 15:37 · Поправил: Sunzer
· Личное сообщение · #8

Вопрос закрыт, решили уже.

Code:
  2. MOV EAX,DWORD PTR FS:[18]
  3. MOV EAX,DWORD PTR DS:[EAX+30]
  4. MOV ESI,DWORD PTR DS:[EAX+C]
  5. ADD ESI,0C
  6. MOV EAX,DWORD PTR DS:[ESI]
  7. MOV [EAX+18],ECX ; Помещаем новый ImageBase





Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

 Создано: 30 мая 2009 16:34
· Личное сообщение · #9

Если автор решил, пусть закрывает тему, а то опять его что-нить не устроит, ещё топик создаст вместо того, чтобы попросить открыть старый.



Ранг: 255.8 (наставник), 19thx
Активность: 0.150.01
Статус: Участник
vx

 Создано: 30 мая 2009 16:58
· Личное сообщение · #10

Sunzer
Вот я не понял в чём проблема заключалась ?


 eXeL@B —› Программирование —› PEB виста
Эта тема закрыта. Ответы больше не принимаются.
   Для печати Для печати