 Autor
|
Tema: CreateRemoteThread Duda (Leído 1,659 veces)
|
Roast D
 Desconectado
Mensajes: 22
|
Esta api tiene com parametro de entrada algo llamado LoadLibrary que creo que es una direccion de memoria de una funcino del kernel32 que se llama LoadLibraryA. En la api dice que ese es el punto donde se ejecuta el hilo. Alguien podria explicarme como funciona eso y para que se usa.
|
|
|
|
|
En línea
|
|
|
|
ivancea96
Desconectado
Mensajes: 3.412
ASMático
|
Sus parámetros son: HANDLE WINAPI CreateRemoteThread( _In_ HANDLE hProcess, _In_ LPSECURITY_ATTRIBUTES lpThreadAttributes, _In_ SIZE_T dwStackSize, _In_ LPTHREAD_START_ROUTINE lpStartAddress, _In_ LPVOID lpParameter, _In_ DWORD dwCreationFlags, _Out_ LPDWORD lpThreadId );
¿De cuál hablas? Todos están aquí explicados: https://msdn.microsoft.com/es-es/library/windows/desktop/ms682437(v=vs.85).aspx
|
|
|
|
|
En línea
|
|
|
|
Roast D
Desconectado
Mensajes: 22
|
Sus parámetros son: HANDLE WINAPI CreateRemoteThread( _In_ HANDLE hProcess, _In_ LPSECURITY_ATTRIBUTES lpThreadAttributes, _In_ SIZE_T dwStackSize, _In_ LPTHREAD_START_ROUTINE lpStartAddress, _In_ LPVOID lpParameter, _In_ DWORD dwCreationFlags, _Out_ LPDWORD lpThreadId );
¿De cuál hablas? Todos están aquí explicados: https://msdn.microsoft.com/es-es/library/windows/desktop/ms682437(v=vs.85).aspx_In_ LPTHREAD_START_ROUTINE lpStartAddress Estoy inyectando dll por este metod. Ese parametro es una direccion de memoria donde se inicia el hilo. Pero la direccion de memoria que pasan a ese parametro para hacer la inyeccion es, la de una funcion del kernel32.dll especificamente load library. Esto lo definen con getprocessadres. Porque se da inicio al hilo en esa direccion de memoria ?
|
|
|
|
|
En línea
|
|
|
|
ivancea96
Desconectado
Mensajes: 3.412
ASMático
|
No lo puedo asegurar, tendría que ver el código, pero puedo intuir que:
Comenzando en esa dirección de memoria, lo que logra es llamar a esa función. El primer parámetro de esa función, es una cadena con la ruta de la DLL, así que de lpParameter le pasará la ruta (del modo que sea). De este modo, logra que el proceso cargue la DLL.
Si tienes ahí el código, comprueba si es así lo que digo. O sinó, pon aquí el código que afecte a lo dicho.
|
|
|
|
|
En línea
|
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
|
Denegar CreateThread, CreateremoteThread
Programación Visual Basic
|
XP.
|
1
|
1,398
|
4 Diciembre 2006, 19:20 pm
por sch3m4
|
|
|
|
Pequeña duda con un comando batch (NUEVA DUDA RELACIONADA)
Scripting
|
revenge1252
|
9
|
9,751
|
13 Febrero 2008, 21:41 pm
por revenge1252
|
|
|
|
CreateRemoteThread multiple params
Programación Visual Basic
|
cobein
|
2
|
1,614
|
13 Abril 2008, 17:27 pm
por cobein
|
|
|
|
inyeccion dll "sin" CreateRemoteThread.
Análisis y Diseño de Malware
|
bizco
|
8
|
6,312
|
17 Mayo 2010, 01:50 am
por bizco
|
|
|
|
Problema con CreateRemoteThread y Win7 64 bits??
Programación C/C++
|
APOKLIPTICO
|
3
|
2,771
|
24 Noviembre 2012, 19:46 pm
por x64core
|
 |
