Título: [MASM][UserMode]Hook OpenProcess Publicado por: The Swash en 11 Julio 2011, 23:55 pm Código
Información: Este es el pequeño ejemplo de enganchar(Hookear) a la función Kernel32.OpenProcess la cual permite abrir un proceso por muchos motivos (Cerrarlo, obtener información, modificar, etc). ¿Que hace exactamente? Sencillamente enganchamos esa función y así podemos verificar si quieren abrir el proceso que nosotros designemos a proteger. Ustedes pueden hacerle su respectiva adaptación a condiciones etc, pero me enfoque en un ejemplo y en aprender. Mis mayores agradecimientos a Lelouch (Como me soportaste xD) y a [Zero]. Dedicado a todos mis mentores :P (Sobra mencionarlos) Saludos. Título: Re: [MASM][UserMode]Hook OpenProcess Publicado por: jackgris en 12 Julio 2011, 04:59 am Muchas gracias esta bueno para aprender, mientras vez codigo ;-)
Título: Re: [MASM][UserMode]Hook OpenProcess Publicado por: Binary_Death en 12 Julio 2011, 05:44 am Muy bueno The Swash!
Ten por seguro que me lo voy a mirar bien y me será muy útil :P Un saludo! Título: Re: [MASM][UserMode]Hook OpenProcess Publicado por: SkaPuti en 15 Julio 2011, 05:11 am Mi amore se parece mi ejemplo de tu code
http://foro.elhacker.net/analisis_y_diseno_de_malware/src_rootkit_findnextfilea_iat_patching-t265665.0.html;msg1299734 :D Título: Re: [MASM][UserMode]Hook OpenProcess Publicado por: afdlkglfgfdgfhgf en 15 Julio 2011, 23:46 pm The_wash esta re-inventando la rueda, hace rato que viene rehaciendo los tutoriales y codigos que ya estan hechos. :silbar:
Título: Re: [MASM][UserMode]Hook OpenProcess Publicado por: [Zero] en 16 Julio 2011, 00:34 am The_wash esta re-inventando la rueda, hace rato que viene rehaciendo los tutoriales y codigos que ya estan hechos. :silbar: Es la única forma de aprender, no me gusta nada la gente que piensa de esa forma. Yo recibí ese tipo de críticas en algunos foros y me ponen enfermo, si no experimentas las cosas no aprendes, es el proceso lo más importante, no el resultado. Saludos Título: Re: [MASM][UserMode]Hook OpenProcess Publicado por: afdlkglfgfdgfhgf en 16 Julio 2011, 06:17 am lo defiendes por que tu tambien calcas los codigos ;-) , pero yo digo lo que pienso y punto, para mi es mas de lo mismo...
Título: Re: [MASM][UserMode]Hook OpenProcess Publicado por: Space.Medafighter.X en 16 Julio 2011, 06:37 am Es natural que esta clase de códigos se parezcan ya que siempre se usan los mismos métodos basados en la misma teoría. Ahora parece que porque un novato publica su ejemplo de hooking, code caving u otro estúpido nombre que quieran usar es un calca-códigos. Además ni que fueran tan excelentes los ejemplos, se pueden mejorar mucho, simplificar la teoría con un ejemplo práctico, etc. API Hooking en usermode no tiene nada de innovador ni uber para tanta discusión, pienso que cualquier código que use OpenProcess, VirtualProtectEx, VirtualAllocEx, WriteProcessMemory para este tipo de cosas se parecería. Otra cosa que hay que destacar es lo inútiles que son las críticas de los usuarios del foro con su infinita sabiduría.
Código: mov eax, offset _EndHook Esa clase de cosas no requieren hacer uso de instrucciones porque siempre el tamaño entre esos offsets sera un valor fijo ya que no se iran corriendo una vez que se haya ensamblado el código, por lo que se puede usar el tamaño de la función directamente en WriteProcessMemory. Código: mov ecx, offset _Hook Eso tiene poco sentido y supongo que no hace falta mayor explicacion, sobretodo porque el valor de ecx será diferente despues de la llamada a WriteProcessMemory y porque no se vuelve a usar. Me da pereza seguir revisando el código, nos vemos. Título: Re: [MASM][UserMode]Hook OpenProcess Publicado por: SkaPuti en 16 Julio 2011, 09:39 am Que no se mal interprete el no le copio ningun codigo a nadie ... solo publico una version propia de la teoria.
The_wash esta re-inventando la rueda, hace rato que viene rehaciendo los tutoriales y codigos que ya estan hechos. :silbar: Madura y aporta algo que con ese tipo de criticas que de constructivas no tienen nada lo unico que aportas es mal clima al foro ;) |