Duda GetProcAddress

Foro de elhacker.net

Programación

Programación C/C++ (Moderadores: Eternal Idol, Littlehorse, K-YreX)

Duda GetProcAddress

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: [1]

Autor

Tema: Duda GetProcAddress (Leído 2,651 veces)

naderST

Desconectado

Mensajes: 625

Duda GetProcAddress

« en: 5 Marzo 2013, 02:41 am »

Buenas a todos, he visto varios códigos donde hacen algo como esto:

Código

GetProcAddress(GetModuleHandle("user32.dll"), "MessageBoxA");

Entiendo que obtiene la dirección de memoria de la función MessageBoxA, pero lo que no logro entender es cómo es que es la misma dirección para todos los procesos? No se si me explico bien, pero no entiendo como funciona esto.


	En línea

x64core

Desconectado

Mensajes: 1.908

Re: Duda GetProcAddress

« Respuesta #1 en: 5 Marzo 2013, 03:06 am »

Cita de: naderST en 5 Marzo 2013, 02:41 am

Buenas a todos, he visto varios códigos donde hacen algo como esto:

Código

GetProcAddress(GetModuleHandle("user32.dll"), "MessageBoxA");

Cada proceso tiene su propio espacio de memoria virtual ( el tamaño depende de la version de Windows que se ha instalado en el sistema: 32, 64 bits ).
El manipulador de memoria sabe cuando desmapear una pagina de memoria cuando ya no es usada y cuando volver a mapearla para su uso.

http://msdn.microsoft.com/en-us/library/windows/desktop/aa366912(v=vs.85).aspx
http://en.wikipedia.org/wiki/Virtual_memory


	En línea

naderST

Desconectado

Mensajes: 625

Re: Duda GetProcAddress

« Respuesta #2 en: 5 Marzo 2013, 03:15 am »

Mi duda me surge cuando vi este código:

Código

#include <windows.h>
#include <stdio.h>
 
typedef int (WINAPI *_MessageBoxA)(HWND, LPCTSTR, LPCTSTR, UINT);
 
struct sTDatos_MessageBoxA
{
    _MessageBoxA direccionMessageBoxA;
    char titulo[255], texto[255];
};
 
typedef struct sTDatos_MessageBoxA TDatos_MessageBoxA;
 
void Hilo_MessageBoxA(TDatos_MessageBoxA *datos)
{
    datos->direccionMessageBoxA(0, datos->texto, datos->titulo, 0);
}
 
void Inyectar_MessageBoxA(DWORD pID, char* titulo, char* texto)
{
    DWORD tamFunc;
    HANDLE tHandle, funcionRemota;
    TDatos_MessageBoxA datos, *direccionDatosRemotos;
    void* direccionFuncionRemota;
 
    tHandle = OpenProcess(PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION | PROCESS_VM_WRITE, 0, pID);
 
    datos.direccionMessageBoxA = (_MessageBoxA)GetProcAddress(GetModuleHandle("USER32.DLL"), "MessageBoxA");
    sprintf(datos.titulo, titulo);
    sprintf(datos.texto, texto);
 
    direccionDatosRemotos = (TDatos_MessageBoxA*)VirtualAllocEx(tHandle, 0, sizeof(TDatos_MessageBoxA), MEM_RESERVE | MEM_COMMIT, PAGE_READWRITE);
    WriteProcessMemory(tHandle, direccionDatosRemotos, &datos, sizeof(TDatos_MessageBoxA), NULL);
 
tamFunc = (DWORD)Inyectar_MessageBoxA - (DWORD)Hilo_MessageBoxA;
 
direccionFuncionRemota = VirtualAllocEx(tHandle, 0, tamFunc, MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE);
WriteProcessMemory(tHandle, direccionFuncionRemota, (void*)Hilo_MessageBoxA, tamFunc, NULL);
 
funcionRemota = CreateRemoteThread(tHandle, NULL, 0, (LPTHREAD_START_ROUTINE)direccionFuncionRemota, direccionDatosRemotos, 0, NULL);
 
WaitForSingleObject(funcionRemota,INFINITE);
   CloseHandle(funcionRemota);
 
   VirtualFreeEx(tHandle,direccionFuncionRemota,0,MEM_RELEASE);
   VirtualFreeEx(tHandle,direccionDatosRemotos,0,MEM_RELEASE);   
 
   CloseHandle(tHandle);   
}
 
int main()
{
    DWORD pID;
    HWND hWnd;
 
    hWnd = FindWindow("SciCalc", NULL);
 
    if(hWnd!=NULL)
    {
        GetWindowThreadProcessId(hWnd, &pID);
        Inyectar_MessageBoxA(pID, "descifra.me", "Codigo inyectado!");
    }
 
    return 0;
}

Cómo es que al crear un hilo en otro proceso se puede utilizar esta dirección en el hilo creado en el otro proceso:

datos.direccionMessageBoxA = (_MessageBoxA)GetProcAddress(GetModuleHandle("USER32.DLL"), "MessageBoxA");

Me surge la duda porque la llamada a GetModuleHandle se hace en un proceso distinto.


	En línea

x64core

Desconectado

Mensajes: 1.908

Re: Duda GetProcAddress

« Respuesta #3 en: 5 Marzo 2013, 03:24 am »

Cuando el loader de Windows carga un .exe, carga modulos tales como ntdll, kernel32,etc
Por ser los primeros es que podria no haber conflicto entre espacios de memoria entre modulos por eso cada modulo de cada proceso
podría cargarse en el mismo espacio de memoria de un proceso, aunque yo preferiría obtener la direcciones de funciones desde el proceso
en el que se ha inyectado el codigo, ese codigo no es la mejor forma de inyección.


	En línea

naderST

Desconectado

Mensajes: 625

Re: Duda GetProcAddress

« Respuesta #4 en: 5 Marzo 2013, 03:38 am »

Muchas gracias por la aclaratoria x64Core esa era mi duda


	En línea

Páginas: [1]

Ir a:

Mensajes similares
	Asunto	Iniciado por	Respuestas	Vistas	Último mensaje
	GetProcAddress alternative function Programación Visual Basic	cobein	2	3,148	9 Octubre 2008, 00:24 am por cobein
	[MASM32] KernelBase Address + GetProcAddress Análisis y Diseño de Malware	The Swash	0	3,632	9 Mayo 2011, 02:23 am por The Swash
	Duda con GetProcAddress Ingeniería Inversa	.:UND3R:.	5	4,358	8 Agosto 2011, 19:35 pm por .:UND3R:.
	[resuelto] Ayuda con GetProcAddress Programación C/C++	xiruko	5	3,583	27 Noviembre 2012, 22:58 pm por xiruko
	no logro invocar a getprocaddress en masm 64 bits ASM	Belial & Grimoire	3	3,326	6 Agosto 2013, 06:10 am por Belial & Grimoire