HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > ПРОГРАММИРОВАНИЕ > С/С++, C#, Rust, Swift, Go, Java, Perl, Ruby
Перезагрузить страницу [ASSEMBLER] Задаем вопросы (для новичков)
   
Ответ
Страница 38 из 74 « Первая < 28 34 35 36 37 38 39 40 41 42 48 > Последняя »
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 07.08.2008, 02:58
0verbreaK
Постоянный
Регистрация: 30.04.2008
Сообщений: 323
Провел на форуме:
379101

Репутация: 136
По умолчанию
zl0y int 2eh
 
Ответить с цитированием

  #2  
Старый 07.08.2008, 05:56
zl0y
Banned
Регистрация: 13.09.2006
Сообщений: 523
Провел на форуме:
2869410

Репутация: 925


По умолчанию
Цитата:
Сообщение от 0verbreaK  
zl0y int 2eh
Вобще то это не виндовое sysenter никаким боком не относиться к ней,в винде все сделанно посредством хуков.
тыб еще сказал out или int 21
 
Ответить с цитированием

  #3  
Старый 07.08.2008, 11:58
w_2k
Новичок
Регистрация: 23.07.2008
Сообщений: 28
Провел на форуме:
104504

Репутация: 1
По умолчанию
Под ДОС
 
Ответить с цитированием

как скрыть вызов АПИ ф-и?
  #4  
Старый 07.08.2008, 23:25
Juda
Познающий
Регистрация: 02.08.2008
Сообщений: 55
Провел на форуме:
363117

Репутация: 30
Question как скрыть вызов АПИ ф-и?
как скрыть вызов АПИ ф-и?

пробовал использовать метод Криса(masm32):
------------------------------------------
пример вызова MessageBox
.data
lib db "user32.dll",0
f db "MessageBoxA",0

.code
invoke LoadLibrary, addr lib
invoke GetProcAddress, eax, addr funk

push MB_OK
push NULL
push NULL
push NULL
push 0E0FFh (опкод jmp eax)
jmp esp
---------------------------------------------
вроде работает, но если после jmp esp идет ret валится на стадии выполнения.
в чем бок?
и какие еще есть способы скрытого вызова АПИ?
 
Ответить с цитированием

  #5  
Старый 08.08.2008, 01:43
zl0y
Banned
Регистрация: 13.09.2006
Сообщений: 523
Провел на форуме:
2869410

Репутация: 925


По умолчанию
Цитата:
Сообщение от Juda  
как скрыть вызов АПИ ф-и?

пробовал использовать метод Криса(masm32):
------------------------------------------
пример вызова MessageBox
.data
lib db "user32.dll",0
f db "MessageBoxA",0

.code
invoke LoadLibrary, addr lib
invoke GetProcAddress, eax, addr funk

push MB_OK
push NULL
push NULL
push NULL
push 0E0FFh (опкод jmp eax)
jmp esp
---------------------------------------------
вроде работает, но если после jmp esp идет ret валится на стадии выполнения.
в чем бок?
и какие еще есть способы скрытого вызова АПИ?
Естественно будет падать,так как ты должен занести в стек адрес возврата перед вызовом после чего,после вызова апи сделать ret либо retn в зависимости от апишки,да и на новых процах запрещенно аппаратно исполнение в стеке(могу ошибаться).
Последний раз редактировалось zl0y; 08.08.2008 в 01:46..
 
Ответить с цитированием

  #6  
Старый 08.08.2008, 00:24
w_2k
Новичок
Регистрация: 23.07.2008
Сообщений: 28
Провел на форуме:
104504

Репутация: 1
По умолчанию
Хорошо, я примерно тут подразобрался...Но у меня вопрос, как узнать адрес нужного прерывания, адрес функции, как подставить свой адрес и с какое по какое место прогу надо оставлять в памяти?
 
Ответить с цитированием

  #7  
Старый 08.08.2008, 00:29
Piflit
Banned
Регистрация: 11.08.2006
Сообщений: 1,522
Провел на форуме:
5128756

Репутация: 2032


По умолчанию
Juda скрытие таблицы импорта или речь идет о другом?
 
Ответить с цитированием

  #8  
Старый 08.08.2008, 10:29
0verbreaK
Постоянный
Регистрация: 30.04.2008
Сообщений: 323
Провел на форуме:
379101

Репутация: 136
По умолчанию
zl0y об int 2eh
http://z0mbie.daemonlab.org/ntoskrnl.html

Можно использовать адреса API функций:

Код:
mov eax, address_of_API
push argument1
push argument2
....
push argumentn
call eax
 
Ответить с цитированием

  #9  
Старый 08.08.2008, 11:02
w_2k
Новичок
Регистрация: 23.07.2008
Сообщений: 28
Провел на форуме:
104504

Репутация: 1
По умолчанию
0verbreak, у тебя случаем инфы по перехвату досовский прерываний нет?)
 
Ответить с цитированием

  #10  
Старый 08.08.2008, 11:41
iv.
Познавший АНТИЧАТ
Регистрация: 21.03.2007
Сообщений: 1,200
Провел на форуме:
7134052

Репутация: 1204


По умолчанию
Цитата:
0verbreak, у тебя случаем инфы по перехвату досовский прерываний нет?)
если мне не изменяет память, инфа с примерами есть в книге Абашева "ассемблер в задачах защиты информации". как дома буду - гляну точно, у меня бумажный вариант..
 
Ответить с цитированием
Ответ
Страница 38 из 74 « Первая < 28 34 35 36 37 38 39 40 41 42 48 > Последняя »



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Вопросы для новичков! (faq) PEPSICOLA С/С++, C#, Rust, Swift, Go, Java, Perl, Ruby 92 14.05.2010 17:59
ОС с нуля z01b С/С++, C#, Rust, Swift, Go, Java, Perl, Ruby 36 03.07.2008 15:30



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.