|
You last visited: Today at 01:02
Advertisement
[asm] EAT func adressen laden
Discussion on [asm] EAT func adressen laden within the General Coding forum part of the Coders Den category.
04/27/2012, 11:33
|
#1
|
elite*gold: 0 
Join Date: Oct 2008
Posts: 1,637
Received Thanks: 1,119
|
[asm] EAT func adressen laden
ich hab da einen kleinen denk fehler, ich versuche folgenden code in asm um zu coden
Code:
HMODULE kernel32base = *(HMODULE*)(*(DWORD*)(*(DWORD*)(*(DWORD*)(*(DWORD*)(__readfsdword(0x30) + 0x0C) + 0x14))) + 0x10);
DWORD base = (DWORD)kernel32base;
IMAGE_NT_HEADERS* pe = PIMAGE_NT_HEADERS(base + PIMAGE_DOS_HEADER(base)->e_lfanew);
IMAGE_EXPORT_DIRECTORY* exportDir = PIMAGE_EXPORT_DIRECTORY(base + pe->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);
DWORD* namePtr = (DWORD*)(base + exportDir->AddressOfNames);
WORD* ordPtr = (WORD*)(base + exportDir->AddressOfNameOrdinals);
for(; strcmp((const char*)(base + *namePtr), "GetProcAddress"); ++namePtr, ++ordPtr)
;
DWORD funcRVA = *(DWORD*)(base + exportDir->AddressOfFunctions + *ordPtr * 4);
typedef FARPROC (WINAPI *GetProcAddress_t)(HMODULE, const char*);
GetProcAddress_t GetProcAddress = (GetProcAddress_t)(base + funcRVA);
mein bisheriges ergebnis
Code:
mov edx, DWORD [eax+0x3C] ; pe header
add edx, eax
mov edx, DWORD [edx+0x78] ; eat
add edx, eax
mov DWORD [ddKernel32EAT], edx
mov ebx, DWORD [edx+0x20] ; address of names
mov ecx, DWORD [edx+0x24] ; address of name ordinals
add ebx, eax
add ecx, eax
.K32Import_Loop:
push ebx
push ecx
push sGetProcAddress
mov eax, DWORD [ebx]
add eax, DWORD [ddKernel32]
push eax
call strcmp
pop ecx
pop ebx
test eax, eax
je .K32Import_LoopEnd
add ebx, 4
add ecx, 2
jmp .K32Import_Loop
.K32Import_LoopEnd:
mov eax, DWORD [ddKernel32] ; <----
mov edx, DWORD [ddKernel32EAT]
add eax, DWORD [edx+0x28] ; address of functions
add ax, WORD [ecx]
xor edx, edx
mov dl, 4
mul edx
add eax, DWORD [ddKernel32]
mov DWORD [ddGetProcAddress], eax ; <---
allerdings habe ich ein problem mit dieser zeile:
Code:
DWORD funcRVA = *(DWORD*)(base + exportDir->AddressOfFunctions + *ordPtr * 4);
der asm ausschnitt ist mit '<---' gekennzeichnet.
jemand ne idee woran es liegen könnte?
fehler beispiel:
Kernel32 image base: 76E30000
Kernel32 EAT: 76EEF6A0
funcRVA befindet sich angeblich an: DBBBE438
|
|
|
|
04/27/2012, 13:58
|
#2
|
elite*gold: 1
Join Date: Jul 2005
Posts: 553
Received Thanks: 451
|
Du solltest Strukturen benutzen, AddressOfFunctions hat nämlich ein Offset von 1Ch.
Mit direkten Offsets zu arbeiten ist sehr unleserlich und so gut wie gar nicht wartbar.
Außerdem braucht man kein mul, da man einfach das SIB-Byte für die Adressierung benutzen kann (sprich mov eax,[eax+ebx*4+55h]).
Und wenn du einen kleineren Teil eines Registers veränderst und im größeren dann das Ergebnis erwartest, musst du das Carry-Flag berücksichtigen.
Code:
mov eax, DWORD [ddKernel32] ; <----
mov edx, DWORD [ddKernel32EAT]
add eax, DWORD [edx+0x28] ; address of functions
add ax, WORD [ecx]
xor edx, edx
mov dl, 4
mul edx
add eax, DWORD [ddKernel32]
mov DWORD [ddGetProcAddress], eax ; <---
->
Code:
mov eax, DWORD [ddKernel32] ; <----
mov edx, DWORD [ddKernel32EAT]
add eax, DWORD [edx+0x1C] ; address of functions
movzx edx,word [ecx]
mov eax,[eax+edx*4]
add eax, DWORD [ddKernel32]
mov DWORD [ddGetProcAddress], eax ; <---
Btw. ich würde statt der Variablen noch esi, edi und ebp hinzuziehen
|
|
|
|
|
04/27/2012, 15:03
|
#3
|
elite*gold: 0
Join Date: Oct 2008
Posts: 1,637
Received Thanks: 1,119
|
Quote:
Originally Posted by link
Und wenn du einen kleineren Teil eines Registers veränderst und im größeren dann das Ergebnis erwartest, musst du das Carry-Flag berücksichtigen.
|
war mir bisher ehrlich gesagt gar nicht bewusst 
Quote:
Originally Posted by link
mov eax,[eax+ebx*4+55h]
|
natürlich self- 
die register sind in diesem code allerdings mit absicht nicht verwendet worden 
ty 
|
|
|
|
|
04/27/2012, 15:34
|
#4
|
elite*gold: 1
Join Date: Jul 2005
Posts: 553
Received Thanks: 451
|
Wenn deine Adresse z.B. 76EEF6A0h und der Wert an [ecx], den du auf ax addierst, gleich B00h ist, dann steht in eax 76EE01A0h statt 76EF01A0h.
Dafür gibt es eigentlich add with carry, aber da der höherwertige 16-byte Part der Register nicht ansprechbar ist, müsste man mit adc einen Umweg gehen oder z.B. jc mit add eax,10000h hinzufügen, deswegen ist es einfacher, wenn du direkt movzx benutzt, sodass du den Wert auf 4-Bytes vergrößerst und ihn auf das komplette eax-Register addierst.
Das mit den Variablen sieht halt eher unschön aus, außerdem sind Speicherzugriffe ziemlich langsam.
|
|
|
|
|
04/27/2012, 15:44
|
#5
|
elite*gold: 0
Join Date: Oct 2008
Posts: 1,637
Received Thanks: 1,119
|
Quote:
Wenn deine Adresse z.B. 76EEF6A0h und der Wert an [ecx], den du auf ax addierst, gleich B00h ist, dann steht in eax 76EE01A0h statt 76EF01A0h.
Dafür gibt es eigentlich add with carry, aber da der höherwertige 16-byte Part der Register nicht ansprechbar ist, müsste man mit adc einen Umweg gehen oder z.B. jc mit add eax,10000h hinzufügen, deswegen ist es einfacher, wenn du direkt movzx benutzt, sodass du den Wert auf 4-Bytes vergrößerst und ihn auf das komplette eax-Register addierst.
|
das ergibt natürlich sinn, hätte ich allerdings nicht dran gedacht
Quote:
Originally Posted by link
Das mit den Variablen sieht halt eher unschön aus, außerdem sind Speicherzugriffe ziemlich langsam.
|
da die func nur ein einziges mal zum start gecalled wird, macht das nichts... grundsätzlich setze ich auch auf register (natürlich wenn möglich ohne lokale variablen)
|
|
|
|
 |
Similar Threads
|
key+key=func
02/09/2012 - AutoIt - 5 Replies
Wie schreibe ich das wenn ich beispielsweise ALT+F4 klicke das dann nix passiert anstatt das das programm ausgeht ?
#Help
|
Func nach der func ausführen problem
08/15/2011 - AutoIt - 6 Replies
Hi,
ich hab hier mal nen code schnipel der nicht funktioniert..
Die error Erkennung...
if StringInStr($oWebTcp.body, "Du kannst nicht weitermachen...") Then
GUICtrlSetData($list1, "Login failed. Please fix"&" = "&$array&" ANR: ")
|
[Fragen zu] Gui Hide & Show / Admin Rights / Func in Func
12/12/2010 - AutoIt - 29 Replies
Hi Leute,
wie ihr oben ja bereits lesen könnt habe ich ein paar Fragen.
1. Könnte mir jmd. eine Hotkeyset-Func schreiben, womit ich mit nur einer (!) Taste die GUI verstecken und wieder anzeigen lassen kann ?
2. Gibt es etwas, dass dem gescripteten Tool von selbst Adminrechte verschafft? Ich rede NICHT von RequireAdmin, da muss man ja Administrator des PCs sein.
€:
Kann "#requireadmin" rausgezögert werden ?!
Ich möchte, dass das passiert, aber erst, wenn ich einen Knopf gedrückt...
|
Func in IE.au3
10/15/2009 - AutoIt - 26 Replies
Hallo,
mal eine Frage zur IE.au3
Ich möchte im gleichen Fenster eine andere Adresse aufrufen,
kann ich das hiermit machen ?
IENavigate(ByRef $o_object, $s_Url, $f_wait = 1)
dann hab ich da mal 2 weitere fragen zu.
Was genau kommt bei $o_object rein und was ist mit dem ByRef ?
Vielen Dank falls mir geholfen werden kann.
|
Need help Func
04/11/2009 - GW Bots - 12 Replies
Hi all, I have a little issue with the bot I'm doin using the tt6 move to engine. I'm trying the make it scan in front of my charc on the minimap to check if enemies are present.
So here's the func:
;scan if enemy is in front of us
Func ScanEnemy1()
PixelSearch(86, 460, 173, 516, $MonsterColor_Red, 10)
If @error then
Sleep( 100 )
PixelSearch(86, 460, 173, 516, $MonsterColor_Red, 10)
if @error then return False
EndIf
|
All times are GMT +2. The time now is 01:02.
|
|
![[asm] EAT func adressen laden](https://www.elitepvpers.com/forum/iconimages/general-coding/asm-eat-func-adressen-laden_ltr.gif){kind=small}
