Título: [Libreria C] Hook a la IAT Publicado por: mr.blood en 23 Enero 2013, 16:40 pm Por si a alguien le ayuda. Es mejorable, no tiene ningun control de errores era solo para mostrar la idea ;).
No se si esto va en esta sección o en la de Programacion en C. Creo que esta mas relacionado con esto. hookiat.c Código
hookiat.h Código
Sa1uDoS Título: Re: [Libreria C] Hook a la IAT Publicado por: Arkangel_0x7C5 en 23 Enero 2013, 18:21 pm Buen codogo.
Como recomendación para su uso, seria recomendable hacer el hook al inicio de la aplicaccion y enganchar también GetProcAddress para que no se te escape cuando usen punteros a esas funciones Saludos Título: Re: [Libreria C] Hook a la IAT Publicado por: mr.blood en 23 Enero 2013, 19:34 pm Si, es la desventaja de este tipo de Hooks, si usan GetProcAddress no los "engancha", hay que hookear GetProcAddress tambien.
Gracias por el comentario ;). Como recomendación para su uso, seria recomendable hacer el hook al inicio de la aplicaccion ¿A que te refieres con eso? Sa1uDoS Título: Re: [Libreria C] Hook a la IAT Publicado por: Arkangel_0x7C5 en 23 Enero 2013, 19:47 pm ¿A que te refieres con eso? Sa1uDoS A que pongan el gancho justo cuando la aplicaccion se ejecuta, para que no le de tiempo a llamar a GetProcAddress. Tambien se puede usar para las importaciones de otras dll, por lo que un campo para el nombre del modulo estaría interesante Saludos Título: Re: [Libreria C] Hook a la IAT Publicado por: mr.blood en 23 Enero 2013, 20:57 pm Ah bueno jaja. Pero esto es una funcion, que cada uno la use como mas conveniente crea.
Sa1uDoS P.D.: Que gusto da este foro, la gente comenta. Título: Re: [Libreria C] Hook a la IAT Publicado por: Karcrack en 24 Enero 2013, 01:50 am Gracias por la aportación mr.blood :)
Realmente lo ideal sería hookear LdrGetProcedureAddress() a pesar de que recorriendo la EAT manualmente se podría escapar. Otra librería de [Zero]: Código: http://foro.elhacker.net/analisis_y_diseno_de_malware/srccasm_clshookapi-t281292.0.html Saludos |