Título: Duda sobre saltos, de apihooking
Publicado por: SuperNovato en 20 Diciembre 2010, 19:12 pm
en los tutos de mazard para saltar de api a funcionfalsa, y vicerversa se usa el JMP con codigo 0xE9, y se deben hacer una operacion para calcular la distancia relativa y continuar la ejecucion normal de la api hookeada, ¿se podria hacer un salto directo a una direccion en vezde un salto relativo?
es decir en vez de :
JMP - calcular salto relativo a funcion
directamente asi:
JMP - direccion de funcion
Título: Re: Duda sobre saltos, de apihooking
Publicado por: [Zero] en 21 Diciembre 2010, 23:36 pm
Salto jmp absoluto creo que no hay, aunque recuerdo que arkangel me había dicho que sí hay, no sé en que quedó al final. Si quieres hacerlo de forma absoluta puedes hacerlo así, por ejemplo: push DirAbsoluta ret
o así: mov eax,DirAbsoluta jmp eax
o cualquier cosa así :P. En mi ClsHookApi (http://foro.elhacker.net/analisis_y_diseno_de_malware/srccasm_clshookapi-t281292.0.html) lo hago con push-ret. Saludos
Título: Re: Duda sobre saltos, de apihooking
Publicado por: SuperNovato en 22 Diciembre 2010, 01:31 am
gracias zero, estoy viendo tu code, muy bueno.
salu2
Título: Re: Duda sobre saltos, de apihooking
Publicado por: Karman en 22 Diciembre 2010, 05:05 am
acá tenes unas cuantas variantes: case DETOUR_TYPE_STC_JC: pDirApi[0] = 0xF9; pDirApi[1] = 0x0F; pDirApi[2] = 0x82; *(DWORD*)&pDirApi[3]=(DWORD)(newDirApi-pDirApi)-7; break; case DETOUR_TYPE_CLC_JNC: pDirApi[0] = 0xF8; pDirApi[1] = 0x0F; pDirApi[2] = 0x83; *(DWORD*)&pDirApi[3]=(DWORD)(newDirApi-pDirApi)-7; break; case DETOUR_TYPE_NOP_NOP_JMP: pDirApi[0]=0x90; pDirApi[1]=0x90; pDirApi[2]=0xE9; *(DWORD*)&pDirApi[3]=(DWORD)(newDirApi-pDirApi)-7; break; case DETOUR_TYPE_PUSH_EAX_RET: pDirApi[0]=0xB8; *(DWORD*)&pDirApi[1]=(DWORD)newDirApi; pDirApi[5]=0x50; pDirApi[6]=0xC3; break; case DETOUR_TYPE_NOP_PUSH_RET: pDirApi[0]=0x90; pDirApi[1]=0x68; *(DWORD*)&pDirApi[2]=(DWORD)newDirApi; pDirApi[6]=0xC3; break; case DETOUR_TYPE_JMP_EAX: pDirApi[0]=0xB8; *(DWORD*)&pDirApi[1]=(DWORD)newDirApi; pDirApi[5]=0xFF; pDirApi[6]=0xE0; break; case DETOUR_TYPE_JMP_JMP: pDirApi[-5]=0xE9; *(DWORD*)&pDirApi[-4]=(DWORD)(newDirApi-pDirApi); pDirApi[0]=0xEB; pDirApi[1]=0xF9; break; case DETOUR_TYPE_PUSH_RET: pDirApi[0]=0x68; *(DWORD*)&pDirApi[1]=(DWORD)newDirApi; pDirApi[5]=0xC3; break; case DETOUR_TYPE_NOP_JMP: pDirApi[0]=0x90; pDirApi[1]=0xE9; *(DWORD*)&pDirApi[2]=(DWORD)(newDirApi-pDirApi)-6; break; default://DETOUR_TYPE_JMP pDirApi[0]=0xE9; *(DWORD*)&pDirApi[1]=(DWORD)(newDirApi-pDirApi)-5; break;
y las instrucciones ASM referentes a jmps: EB cb JMP rel8 Jump short, relative, displacement relative to next instruction. E9 cw JMP rel16 Jump near, relative, displacement relative to next instruction. E9 cd JMP rel32 Jump near, relative, displacement relative to next instruction. FF /4 JMP r/m16 Jump near, absolute indirect, address given in r/m16. FF /4 JMP r/m32 Jump near, absolute indirect, address given in r/m32. EA cd JMP ptr16:16 Jump far, absolute, address given in operand. EA cp JMP ptr16:32 Jump far, absolute, address given in operand. FF /5 JMP m16:16 Jump far, absolute indirect, address given in m16:16. FF /5 JMP m16:32 Jump far, absolute indirect, address given in m16:32.
S2
|