| |
| |
|
 | Noch una Goldstück de el TNT-Schatzkammer:
Wir starten TNT y schauen uns una vez el USER32.DLL en el TNT Prozess a - vorher Por favor, aber en el Menu Erweiterte Exportfunktionssuche auswählen. Jetzt mittels Rechtsklick en Gefundene Exportfunktionen: el Exportfunktionen en el Zwischenablage kopieren y irgendein Word-Dokument zwischenspeichern.
Danach el Ladeadresse des Moduls en el Prozess, el e Einsprungsadresse des Moduls en el Prozess y el Adresse el Exportsektion ebenfalls kopieren y hay einfügen.
En me kommt el heraus (Windows2000):
[box:0cfc1d18f2]
1. Función Name: ActivateKeyboardLayout
1. Función Adresse en el Prozess: 2011245688
1. Función Adresse de Offset des Moduls: 76920
2. Función Name: AdjustWindowRect
2. Función Adresse en el Prozess: 2011254280
2. Función Adresse de Offset des Moduls: 85512
3. Función Name: AdjustWindowRectEx
3. Función Adresse en el Prozess: 2011197974
3. Función Adresse de Offset des Moduls: 29206
4. Función Name: AlignRects
4. Función Adresse en el Prozess: 2011493835
4. Función Adresse de Offset des Moduls: 325067
5. Función Name: AllowSetForegroundWindow
5. Función Adresse en el Prozess: 2011234139
5. Función Adresse de Offset des Moduls: 65371
6. Función Name: AnimateWindow
6. Función Adresse en el Prozess: 2011308835
6. Función Adresse de Offset des Moduls: 140067
7. Función Name: AnyPopup
7. Función Adresse en el Prozess: 2011480293
7. Función Adresse de Offset des Moduls: 311525
8. Función Name: AppendMenuA
8. Función Adresse en el Prozess: 2011247766
8. Función Adresse de Offset des Moduls: 78998
9. Función Name: AppendMenuW
9. Función Adresse en el Prozess: 2011327550
9. Función Adresse de Offset des Moduls: 158782
10. Función Name: ArrangeIconicWindows
10. Función Adresse en el Prozess: 2011418844
10. Función Adresse de Offset des Moduls: 250076
11. Función Name: AttachThreadInput
11. Función Adresse en el Prozess: 2011285863
11. Función Adresse de Offset des Moduls: 117095
12. Función Name: BeginDeferWindowPos
12. Función Adresse en el Prozess: 2011199137
12. Función Adresse de Offset des Moduls: 30369
13. Función Name: BeginPaint
13. Función Adresse en el Prozess: 2011184489
13. Función Adresse de Offset des Moduls: 15721
14. Función Name: BlockInput
14. Función Adresse en el Prozess: 2011491773
14. Función Adresse de Offset des Moduls: 323005
15. Función Name: BringWindowToTop
15. Función Adresse en el Prozess: 2011198909
15. Función Adresse de Offset des Moduls: 30141
16. Función Name: BroadcastSystemMessage
16. Función Adresse en el Prozess: 2011484994
16. Función Adresse de Offset des Moduls: 316226
17. Función Name: BroadcastSystemMessageA
17. Función Adresse en el Prozess: 2011484994
17. Función Adresse de Offset des Moduls: 316226
18. Función Name: BroadcastSystemMessageW
18. Función Adresse en el Prozess: 2011315291
18. Función Adresse de Offset des Moduls: 146523
19. Función Name: CallMsgFilter
19. Función Adresse en el Prozess: 2011315745
19. Función Adresse de Offset des Moduls: 146977
20. Función Name: CallMsgFilterA
20. Función Adresse en el Prozess: 2011315745
20. Función Adresse de Offset des Moduls: 146977
21. Función Name: CallMsgFilterW
21. Función Adresse en el Prozess: 2011208178
21. Función Adresse de Offset des Moduls: 39410
22. Función Name: CallNextHookEx
22. Función Adresse en el Prozess: 2011252324
22. Función Adresse de Offset des Moduls: 83556
23. Función Name: CallWindowProcA
23. Función Adresse en el Prozess: 2011196117
23. Función Adresse de Offset des Moduls: 27349
24. Función Name: CallWindowProcW
24. Función Adresse en el Prozess: 2011196146
24. Función Adresse de Offset des Moduls: 27378
25. Función Name: CascadeChildWindows
25. Función Adresse en el Prozess: 2011418858
25. Función Adresse de Offset des Moduls: 250090
26. Función Name: CascadeWindows
26. Función Adresse en el Prozess: 2011465153
26. Función Adresse de Offset des Moduls: 296385
27. Función Name: ChangeClipboardChain
27. Función Adresse en el Prozess: 2011256424
27. Función Adresse de Offset des Moduls: 87656
28. Función Name: ChangeDisplaySettingsA
28. Función Adresse en el Prozess: 2011485843
28. Función Adresse de Offset des Moduls: 317075
29. Función Name: ChangeDisplaySettingsExA
29. Función Adresse en el Prozess: 2011485873
29. Función Adresse de Offset des Moduls: 317105
30. Función Name: ChangeDisplaySettingsExW
30. Función Adresse en el Prozess: 2011429049
30. Función Adresse de Offset des Moduls: 260281
31. Función Name: ChangeDisplaySettingsW
31. Función Adresse en el Prozess: 2011429019
31. Función Adresse de Offset des Moduls: 260251
32. Función Name: ChangeMenuA
32. Función Adresse en el Prozess: 2011376593
32. Función Adresse de Offset des Moduls: 207825
33. Función Name: ChangeMenuW
33. Función Adresse en el Prozess: 2011465321
33. Función Adresse de Offset des Moduls: 296553
34. Función Name: CharLowerA
34. Función Adresse en el Prozess: 2011210584
34. Función Adresse de Offset des Moduls: 41816
35. Función Name: CharLowerBuffA
35. Función Adresse en el Prozess: 2011210723
35. Función Adresse de Offset des Moduls: 41955
36. Función Name: CharLowerBuffW
36. Función Adresse en el Prozess: 2011190487
36. Función Adresse de Offset des Moduls: 21719
37. Función Name: CharLowerW
37. Función Adresse en el Prozess: 2011190540
37. Función Adresse de Offset des Moduls: 21772
38. Función Name: CharNextA
38. Función Adresse en el Prozess: 2011188676
38. Función Adresse de Offset des Moduls: 19908
39. Función Name: CharNextExA
39. Función Adresse en el Prozess: 2011479374
39. Función Adresse de Offset des Moduls: 310606
40. Función Name: CharNextW
40. Función Adresse en el Prozess: 2011190249
40. Función Adresse de Offset des Moduls: 21481
41. Función Name: CharPrevA
41. Función Adresse en el Prozess: 2011253369
41. Función Adresse de Offset des Moduls: 84601
42. Función Name: CharPrevExA
42. Función Adresse en el Prozess: 2011479419
42. Función Adresse de Offset des Moduls: 310651
43. Función Name: CharPrevW
43. Función Adresse en el Prozess: 2011190310
43. Función Adresse de Offset des Moduls: 21542
44. Función Name: CharToOemA
44. Función Adresse en el Prozess: 2011182664
44. Función Adresse de Offset des Moduls: 13896
45. Función Name: CharToOemBuffA
45. Función Adresse en el Prozess: 2011341958
45. Función Adresse de Offset des Moduls: 173190
46. Función Name: CharToOemBuffW
46. Función Adresse en el Prozess: 2011472284
46. Función Adresse de Offset des Moduls: 303516
47. Función Name: CharToOemW
47. Función Adresse en el Prozess: 2011472215
47. Función Adresse de Offset des Moduls: 303447
48. Función Name: CharUpperA
48. Función Adresse en el Prozess: 2011184843
48. Función Adresse de Offset des Moduls: 16075
49. Función Name: CharUpperBuffA
49. Función Adresse en el Prozess: 2011245428
49. Función Adresse de Offset des Moduls: 76660
50. Función Name: CharUpperBuffW
50. Función Adresse en el Prozess: 2011184982
50. Función Adresse de Offset des Moduls: 16214
51. Función Name: CharUpperW
51. Función Adresse en el Prozess: 2011185035
51. Función Adresse de Offset des Moduls: 16267
52. Función Name: CheckDlgButton
52. Función Adresse en el Prozess: 2011285959
52. Función Adresse de Offset des Moduls: 117191
53. Función Name: CheckMenuItem
53. Función Adresse en el Prozess: 2011328763
53. Función Adresse de Offset des Moduls: 159995
54. Función Name: CheckMenuRadioItem
54. Función Adresse en el Prozess: 2011340619
54. Función Adresse de Offset des Moduls: 171851
55. Función Name: CheckRadioButton
55. Función Adresse en el Prozess: 2011283379
55. Función Adresse de Offset des Moduls: 114611
56. Función Name: ChildWindowFromPoint
56. Función Adresse en el Prozess: 2011340410
56. Función Adresse de Offset des Moduls: 171642
57. Función Name: ChildWindowFromPointEx
57. Función Adresse en el Prozess: 2011281464
57. Función Adresse de Offset des Moduls: 112696
58. Función Name: CliImmSetHotKey
58. Función Adresse en el Prozess: 2011410204
58. Función Adresse de Offset des Moduls: 241436
59. Función Name: ClientThreadSetup
59. Función Adresse en el Prozess: 2011242778
59. Función Adresse de Offset des Moduls: 74010
60. Función Name: ClientToScreen
60. Función Adresse en el Prozess: 2011192742
60. Función Adresse de Offset des Moduls: 23974
61. Función Name: ClipCursor
61. Función Adresse en el Prozess: 2011491815
61. Función Adresse de Offset des Moduls: 323047
62. Función Name: CloseClipboard
62. Función Adresse en el Prozess: 2011249839
62. Función Adresse de Offset des Moduls: 81071
63. Función Name: CloseDesktop
63. Función Adresse en el Prozess: 2011244941
63. Función Adresse de Offset des Moduls: 76173
64. Función Name: CloseWindow
64. Función Adresse en el Prozess: 2011418882
64. Función Adresse de Offset des Moduls: 250114
65. Función Name: CloseWindowStation
65. Función Adresse en el Prozess: 2011244913
65. Función Adresse de Offset des Moduls: 76145
66. Función Name: CopyAcceleratorTableA
66. Función Adresse en el Prozess: 2011332075
66. Función Adresse de Offset des Moduls: 163307
67. Función Name: CopyAcceleratorTableW
67. Función Adresse en el Prozess: 2011234153
67. Función Adresse de Offset des Moduls: 65385
68. Función Name: CopyIcon
68. Función Adresse en el Prozess: 2011328654
68. Función Adresse de Offset des Moduls: 159886
69. Función Name: CopyImage
69. Función Adresse en el Prozess: 2011232406
69. Función Adresse de Offset des Moduls: 63638
70. Función Name: CopyRect
70. Función Adresse en el Prozess: 2011194030
70. Función Adresse de Offset des Moduls: 25262
71. Función Name: CountClipboardFormats
71. Función Adresse en el Prozess: 2011250066
71. Función Adresse de Offset des Moduls: 81298
72. Función Name: CreateAcceleratorTableA
72. Función Adresse en el Prozess: 2011325429
72. Función Adresse de Offset des Moduls: 156661
73. Función Name: CreateAcceleratorTableW
73. Función Adresse en el Prozess: 2011327988
73. Función Adresse de Offset des Moduls: 159220
74. Función Name: CreateCaret
74. Función Adresse en el Prozess: 2011196313
74. Función Adresse de Offset des Moduls: 27545
75. Función Name: CreateCursor
75. Función Adresse en el Prozess: 2011422321
75. Función Adresse de Offset des Moduls: 253553
76. Función Name: CreateDesktopA
76. Función Adresse en el Prozess: 2011418576
76. Función Adresse de Offset des Moduls: 249808
77. Función Name: CreateDesktopW
77. Función Adresse en el Prozess: 2011176813
77. Función Adresse de Offset des Moduls: 8045
78. Función Name: CreateDialogIndirectParamA
78. Función Adresse en el Prozess: 2011255720
78. Función Adresse de Offset des Moduls: 86952
79. Función Name: CreateDialogIndirectParamAorW
79. Función Adresse en el Prozess: 2011225486
79. Función Adresse de Offset des Moduls: 56718
80. Función Name: CreateDialogIndirectParamW
80. Función Adresse en el Prozess: 2011207945
80. Función Adresse de Offset des Moduls: 39177
81. Función Name: CreateDialogParamA
81. Función Adresse en el Prozess: 2011214621
81. Función Adresse de Offset des Moduls: 45853
82. Función Name: CreateDialogParamW
82. Función Adresse en el Prozess: 2011304876
82. Función Adresse de Offset des Moduls: 136108
83. Función Name: CreateIcon
83. Función Adresse en el Prozess: 2011356336
83. Función Adresse de Offset des Moduls: 187568
84. Función Name: CreateIconFromResource
84. Función Adresse en el Prozess: 2011422515
84. Función Adresse de Offset des Moduls: 253747
85. Función Name: CreateIconFromResourceEx
85. Función Adresse en el Prozess: 2011327204
85. Función Adresse de Offset des Moduls: 158436
86. Función Name: CreateIconIndirect
86. Función Adresse en el Prozess: 2011328274
86. Función Adresse de Offset des Moduls: 159506
87. Función Name: CreateMDIWindowA
87. Función Adresse en el Prozess: 2011295918
87. Función Adresse de Offset des Moduls: 127150
88. Función Name: CreateMDIWindowW
88. Función Adresse en el Prozess: 2011357207
88. Función Adresse de Offset des Moduls: 188439
89. Función Name: CreateMenu
89. Función Adresse en el Prozess: 2011247347
89. Función Adresse de Offset des Moduls: 78579
90. Función Name: CreatePopupMenu
90. Función Adresse en el Prozess: 2011249717
90. Función Adresse de Offset des Moduls: 80949
91. Función Name: CreateWindowExA
91. Función Adresse en el Prozess: 2011204611
91. Función Adresse de Offset des Moduls: 35843
92. Función Name: CreateWindowExW
92. Función Adresse en el Prozess: 2011204561
92. Función Adresse de Offset des Moduls: 35793
93. Función Name: CreateWindowStationA
93. Función Adresse en el Prozess: 2011418446
93. Función Adresse de Offset des Moduls: 249678
94. Función Name: CreateWindowStationW
94. Función Adresse en el Prozess: 2011175119
94. Función Adresse de Offset des Moduls: 6351
95. Función Name: CtxInitUser32
95. Función Adresse en el Prozess: 2011420512
95. Función Adresse de Offset des Moduls: 251744
96. Función Name: DdeAbandonTransaction
96. Función Adresse en el Prozess: 2011483635
96. Función Adresse de Offset des Moduls: 314867
97. Función Name: DdeAccessData
97. Función Adresse en el Prozess: 2011351713
97. Función Adresse de Offset des Moduls: 182945
98. Función Name: DdeAddData
98. Función Adresse en el Prozess: 2011451656
98. Función Adresse de Offset des Moduls: 282888
99. Función Name: DdeClientTransaction
99. Función Adresse en el Prozess: 2011348707
99. Función Adresse de Offset des Moduls: 179939
100. Función Name: DdeCmpStringHandles
100. Función Adresse en el Prozess: 2011340578
100. Función Adresse de Offset des Moduls: 171810
101. Función Name: DdeConnect
101. Función Adresse en el Prozess: 2011347316
101. Función Adresse de Offset des Moduls: 178548
102. Función Name: DdeConnectList
102. Función Adresse en el Prozess: 2011423602
102. Función Adresse de Offset des Moduls: 254834
103. Función Name: DdeCreateDataHandle
103. Función Adresse en el Prozess: 2011351079
103. Función Adresse de Offset des Moduls: 182311
104. Función Name: DdeCreateStringHandleA
104. Función Adresse en el Prozess: 2011322392
104. Función Adresse de Offset des Moduls: 153624
105. Función Name: DdeCreateStringHandleW
105. Función Adresse en el Prozess: 2011357030
105. Función Adresse de Offset des Moduls: 188262
106. Función Name: DdeDisconnect
106. Función Adresse en el Prozess: 2011349894
106. Función Adresse de Offset des Moduls: 181126
107. Función Name: DdeDisconnectList
107. Función Adresse en el Prozess: 2011425358
107. Función Adresse de Offset des Moduls: 256590
108. Función Name: DdeEnableCallback
108. Función Adresse en el Prozess: 2011414428
108. Función Adresse de Offset des Moduls: 245660
109. Función Name: DdeFreeDataHandle
109. Función Adresse en el Prozess: 2011351231
109. Función Adresse de Offset des Moduls: 182463
110. Función Name: DdeFreeStringHandle
110. Función Adresse en el Prozess: 2011320857
110. Función Adresse de Offset des Moduls: 152089
111. Función Name: DdeGetData
111. Función Adresse en el Prozess: 2011347045
111. Función Adresse de Offset des Moduls: 178277
112. Función Name: DdeGetLastError
112. Función Adresse en el Prozess: 2011430418
112. Función Adresse de Offset des Moduls: 261650
113. Función Name: DdeGetQualityOfService
113. Función Adresse en el Prozess: 2011344527
113. Función Adresse de Offset des Moduls: 175759
114. Función Name: DdeImpersonateClient
114. Función Adresse en el Prozess: 2011430473
114. Función Adresse de Offset des Moduls: 261705
115. Función Name: DdeInitializeA
115. Función Adresse en el Prozess: 2011322915
115. Función Adresse de Offset des Moduls: 154147
116. Función Name: DdeInitializeW
116. Función Adresse en el Prozess: 2011356997
116. Función Adresse de Offset des Moduls: 188229
117. Función Name: DdeKeepStringHandle
117. Función Adresse en el Prozess: 2011454257
117. Función Adresse de Offset des Moduls: 285489
118. Función Name: DdeNameService
118. Función Adresse en el Prozess: 2011321288
118. Función Adresse de Offset des Moduls: 152520
119. Función Name: DdePostAdvise
119. Función Adresse en el Prozess: 2011483967
119. Función Adresse de Offset des Moduls: 315199
120. Función Name: DdeQueryConvInfo
120. Función Adresse en el Prozess: 2011346404
120. Función Adresse de Offset des Moduls: 177636
121. Función Name: DdeQueryNextServer
121. Función Adresse en el Prozess: 2011425022
121. Función Adresse de Offset des Moduls: 256254
122. Función Name: DdeQueryStringA
122. Función Adresse en el Prozess: 2011341318
122. Función Adresse de Offset des Moduls: 172550
123. Función Name: DdeQueryStringW
123. Función Adresse en el Prozess: 2011454034
123. Función Adresse de Offset des Moduls: 285266
124. Función Name: DdeReconnect
124. Función Adresse en el Prozess: 2011424141
124. Función Adresse de Offset des Moduls: 255373
125. Función Name: DdeSetQualityOfService
125. Función Adresse en el Prozess: 2011348461
125. Función Adresse de Offset des Moduls: 179693
126. Función Name: DdeSetUserHandle
126. Función Adresse en el Prozess: 2011483468
126. Función Adresse de Offset des Moduls: 314700
127. Función Name: DdeUnaccessData
127. Función Adresse en el Prozess: 2011351814
127. Función Adresse de Offset des Moduls: 183046
128. Función Name: DdeUninitialize
128. Función Adresse en el Prozess: 2011323502
128. Función Adresse de Offset des Moduls: 154734
129. Función Name: DefDlgProcA
129. Función Adresse en el Prozess: 2011198284
129. Función Adresse de Offset des Moduls: 29516
130. Función Name: DefDlgProcW
130. Función Adresse en el Prozess: 2011198454
130. Función Adresse de Offset des Moduls: 29686
131. Función Name: DefFrameProcA
131. Función Adresse en el Prozess: 2011257045
131. Función Adresse de Offset des Moduls: 88277
132. Función Name: DefFrameProcW
132. Función Adresse en el Prozess: 2011207854
132. Función Adresse de Offset des Moduls: 39086
133. Función Name: DefMDIChildProcA
133. Función Adresse en el Prozess: 2011258475
133. Función Adresse de Offset des Moduls: 89707
134. Función Name: DefMDIChildProcW
134. Función Adresse en el Prozess: 2011207919
134. Función Adresse de Offset des Moduls: 39151
135. Función Name: DefWindowProcA
135. Función Adresse en el Prozess: 2011188942
135. Función Adresse de Offset des Moduls: 20174
136. Función Name: DefWindowProcW
136. Función Adresse en el Prozess: 2011187057
136. Función Adresse de Offset des Moduls: 18289
137. Función Name: DeferWindowPos
137. Función Adresse en el Prozess: 2011199190
137. Función Adresse de Offset des Moduls: 30422
138. Función Name: DeleteMenu
138. Función Adresse en el Prozess: 2011206297
138. Función Adresse de Offset des Moduls: 37529
139. Función Name: DeregisterShellHookWindow
139. Función Adresse en el Prozess: 2011419417
139. Función Adresse de Offset des Moduls: 250649
140. Función Name: DestroyAcceleratorTable
140. Función Adresse en el Prozess: 2011332532
140. Función Adresse de Offset des Moduls: 163764
141. Función Name: DestroyCaret
141. Función Adresse en el Prozess: 2011199247
141. Función Adresse de Offset des Moduls: 30479
142. Función Name: DestroyCursor
142. Función Adresse en el Prozess: 2011198584
142. Función Adresse de Offset des Moduls: 29816
143. Función Name: DestroyIcon
143. Función Adresse en el Prozess: 2011198584
143. Función Adresse de Offset des Moduls: 29816
144. Función Name: DestroyMenu
144. Función Adresse en el Prozess: 2011249703
144. Función Adresse de Offset des Moduls: 80935
145. Función Name: DestroyWindow
145. Función Adresse en el Prozess: 2011192281
145. Función Adresse de Offset des Moduls: 23513
146. Función Name: DeviceEventWorker
146. Función Adresse en el Prozess: 2011177929
146. Función Adresse de Offset des Moduls: 9161
...
[/box:0cfc1d18f2]
Jetzt clic wir en el Treeview veces zurück en el Prozess Tasks and Token y dejar uns veces mittels Rechtsklick en el Treeview veces 4000 Bytes des Prozessspeichers de TNT como dezimale Doublewords auslesen. Als Startadresse nehmen wir hier el Ladeadresse el USER32.DLL (en me 2011168768).
En me kommt el heraus:
[box:0cfc1d18f2]
X1=9460301
X2=3
X3=4
X4=65535
X5=184
X6=0
X7=64
X8=0
X9=0
X10=0
X11=0
X12=0
X13=0
X14=0
X15=0
X16=216
X17=247078670
X18=-855002112
X19=1275181089
X20=1750344141
X21=1881174889
X22=1919381362
X23=1663069537
X24=1869508193
X25=1700929652
X26=1853190688
X27=544106784
X28=542330692
X29=1701080941
X30=168627502
X31=36
X32=0
X33=-858161991
X34=-1615389187
X35=-1615389187
X36=-1615389187
X37=-1615454723
X38=-1615389481
X39=-1616626012
X40=-1615389195
X41=-1615784533
X42=-1615389188
X43=-1615249935
X44=-1615389185
X45=-1615389187
X46=-1615389308
X47=1751345490
X48=-1615389187
X49=0
X50=0
X51=0
X52=0
X53=0
X54=0
X55=17744
X56=262476
X57=989012787
X58=0
X59=0
X60=588120288
X61=201654539
X62=356352
X63=45056
X64=0
X65=130686
X66=4096
X67=339968
X68=2011168768
X69=4096
X70=512
X71=5
X72=5
X73=4
X74=0
X75=409600
X76=1024
X77=447213
X78=2
X79=262144
X80=4096
X81=1048576
X82=4096
X83=0
X84=16
X85=335248
X86=18213
X87=353461
X88=114
X89=364544
X90=30788
X91=0
X92=0
X93=0
X94=0
X95=397312
X96=10944
X97=360102
X98=28
X99=0
X100=0
X101=0
X102=0
X103=0
X104=0
X105=0
X106=0
X107=624
X108=76
X109=4096
X110=1200
X111=0
X112=0
X113=0
X114=0
X115=0
X116=0
X117=2019914798
X118=116
X119=356202
X120=4096
X121=356352
X122=1024
X123=0
X124=0
X125=0
X126=1610612768
X127=1952539694
X128=97
X129=3712
X130=360448
X131=2560
X132=357376
X133=0
X134=0
X135=0
X136=-1073741760
X137=1920168494
X138=99
X139=32768
X140=364544
X141=31232
X142=359936
X143=0
X144=0
X145=0
X146=1073741888
X147=1818587694
X148=25455
X149=10944
X150=397312
X151=11264
X152=391168
X153=0
X154=0
X155=0
X156=1107296320
X157=989012787
X158=40
X159=989012787
X160=65586
X161=989012787
X162=40
X163=989012787
X164=63
X165=0
X166=0
X167=1279546446
X168=1279536716
X169=1162543180
X170=1279610450
X171=1143878195
X172=1191201868
X173=842221892
X174=1280066606
X175=0
X176=0
...
[/box:0cfc1d18f2]
Jetzt suchen wir veces el Zahl 17744 - en me es el el Doubleword con el Kennumer X55. Jetzt ir wir de diesem Doubleword 13 Doublewords más (en me X68) => voila, el Ladeadresse des Moduls, en me el ya bekannte Zahl 2011168768!
Jetzt brauchen wir el Windows Taschenrechner y ziehen de el Einsprungsadresse (en me 2011299454) el Ladeadresse (2011168768) de:
2011299454-2011168768=130686
Mmmh - va uno also otra vez 3 Doublewords zurück, findet uno hier el Adresse el Einsprungsfunktion el DLL - hier aber como Adresse de Offset des Moduls. Würde uno nun después de más Adressen de Exportfunktionen innerhalb des Moduls suchen, sería uno auch hier siempre otra vez no el Absoluten Adressen vorfinden, pero el Offsetadressen de Modulstart. ¿Por qué es el así wichtig???
Tiempo angenommen uno sería una Modul no mittels Loadlibrary-API oder Profano @UseDll() invitar, pero lo simplemente en el Speicher uno fremden Prozesses kopieren - qué wäre bajo anderem como a ändern? Diese Adresse!
Wer se fragt, Yo en solche Sachen komme => así algo fällt me en el Regel en meiner Nachtschicht una... |
|
| |
| |
| |
|
|
| Und ware todavía a ändern?
Tiempo schauen... |
|
| |
| |
| |
|
|
| | je, jne, jmp, jl, jle, sí, jae, jnl, jng y call evtl? Verweist dies en absolute Adresse? Tiempo TNT rausholen... |
|
| |
| |
| |
|
|
| Das heißt - si yo mich de meiner Nachtschicht erholt habe  , kräftig diassemblen 
 |
|
| |
| |
| |
|
|
Michael
Wodrich | | Und womit disassemblest Usted? Welches Programa? |
|
| |
| Programmieren, das spannendste Detektivspiel der Welt. | 25.08.2006 ▲ |
|
| |
|
|
| | Mit W32 DASM y Comparar ziehen con TNT y umrechnen encima el Windows Taschenrechner - algo schwer a erklären en el Augenblick... |
|
| |
| |
| |
|
|
| Was Yo antes:
Yo möchte una User32.dll uno älteren Betriebsystems en una neueres invitar y cierto APIs en él ansprechen puede.
Laden: Kein Problema (siehe oben)
Doch irgendwo stimmen el Adressen para Sprünge todavía no y yo lande otra vez beim Ansprechen el API en el alten User32.
Como ya he dicho, veces schauen wo verkehrt gehopst se . |
|
| |
| |
| |
|
|
Michael
Wodrich | Tuve wohl siempre a el falschen Punto gesucht. Brauche el para mi ASM-Programas. Gracias
Schöne Grüße
Michael Wodrich |
|
| |
| Programmieren, das spannendste Detektivspiel der Welt. | 25.08.2006 ▲ |
|
| |
|
|
| So, el Sprungreferenzen innerhalb des Quellcodes verweisen scheinbar todos en relative Adresse - el podría also así bleiben, solange esta no en Adresen außerhalb el DLL verweisen.
En el Importfunktionen y deren Adressen sieht el aber anders de, el müßten en cada Fall angepaßt voluntad.. Como uno (con[...]  ) a el kommt y esta en uno geladenen DLL ändert, voluntad Yo hier todavía zeigen. |
|
| |
| |
| |
|
(721)
Deutsch
English
Français
Español
Italia