elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  API parecida a realloc
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: API parecida a realloc  (Leído 2,507 veces)
.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
API parecida a realloc
« en: 6 Octubre 2011, 01:48 am »

me gustaría saber de que manera un programa cambia el size de un address virtual como ej 150000 teniendo un size 6000 lo cambia a 7000

me dijeron que con la API realloc, pero esta la usa el programa pero no para cambiar el size del address 150000,existe otra api o forma?


Gracias
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.518


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: API parecida a realloc
« Respuesta #1 en: 6 Octubre 2011, 01:56 am »

Llamando a VirtualAlloc (o parecidas) con la misma direccion y un tamanio mayor??

Quizas haya que liberar la memoria antes de realocar.

Aunque, si es memoria del heap, se puede realocar sin problemas (GlobalReAlloc)
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: API parecida a realloc
« Respuesta #2 en: 6 Octubre 2011, 02:40 am »

efectivamente está el heap, el problema es que no es VirtualAlloc ya que nunca libera tal address, tampoco realloc, ya que se detuvo pero nunca  haciendo referencia a 150000, probé con GlobalReAlloc y tampoco(nunca pasó por tal API), lo que quiero hacer es saltear un antidump que está en 150000 con size A000 pero en el entry point parte con 6000 es esa mi duda de que manera aumenta el size, ya que de las formas mencionadas no funcionaron.

para saltar tal intidump se podría utilizar realloc en el dumpeado y crear un injerto que copie en el size agregado el code faltante?

un método muy interesante que me comentaron y lei fue seguir el retorno de VirtualAlloc cuando este tiene como parámetro el address NULL modificar eax para que apunte a una sección creada por uno mismo, pero no me es efectiva en este caso ya que en ningún momento se utiliza VirtualAlloc en 150000

Saludos
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
Иōҳ


Desconectado Desconectado

Mensajes: 563


Ver Perfil
Re: API parecida a realloc
« Respuesta #3 en: 6 Octubre 2011, 17:56 pm »

Yo para resever memoría uso LocalAlloc/GloballAlloc.
En línea

Eres adicto a la Ing. Inversa? -> www.noxsoft.net
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
problemas con parámetros realloc
Ingeniería Inversa
.:UND3R:. 1 2,219 Último mensaje 6 Octubre 2011, 06:02 am
por apuromafo CLS
Serie parecida a Breackin Bad?(Encontrado)
Foro Libre
Senior++ 5 8,155 Último mensaje 3 Mayo 2012, 18:13 pm
por anonimo12121
Problema con realloc :(
Programación C/C++
sherry_XD 4 2,565 Último mensaje 4 Julio 2014, 17:38 pm
por do-while
¿Como funciona exactamente realloc()?
Programación C/C++
marcoma 4 3,013 Último mensaje 18 Agosto 2015, 11:36 am
por Eternal Idol
Una tecnología parecida a la que usa FaceApp ayuda a encontrar a un joven ...
Noticias
wolfbcn 0 1,004 Último mensaje 22 Julio 2019, 02:28 am
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines