| |
| |
|
 | encore un Goldstück aus qui TNT-trésor public:
Wir starten TNT et regarder uns einmal qui USER32.DLL im TNT Prozess à - auparavant s'il te plaît mais im Menu Erweiterte Exportfunktionssuche auswählen. maintenant mittels Droit sur Gefundene Exportfunktionen: qui Exportfunktionen dans qui Zwischenablage kopieren et dans irgendein Word-Dokument zwischenspeichern.
après qui Ladeadresse des Moduls im Prozess, qui e Einsprungsadresse des Moduls im Prozess et qui Adresse qui Exportsektion également kopieren et là insérer.
chez mir venez cela heraus (Windows2000):
[box:0cfc1d18f2]
1. Funktion nom: ActivateKeyboardLayout
1. Funktion Adresse im Prozess: 2011245688
1. Funktion Adresse ab Offset des Moduls: 76920
2. Funktion nom: AdjustWindowRect
2. Funktion Adresse im Prozess: 2011254280
2. Funktion Adresse ab Offset des Moduls: 85512
3. Funktion nom: AdjustWindowRectEx
3. Funktion Adresse im Prozess: 2011197974
3. Funktion Adresse ab Offset des Moduls: 29206
4. Funktion nom: AlignRects
4. Funktion Adresse im Prozess: 2011493835
4. Funktion Adresse ab Offset des Moduls: 325067
5. Funktion nom: AllowSetForegroundWindow
5. Funktion Adresse im Prozess: 2011234139
5. Funktion Adresse ab Offset des Moduls: 65371
6. Funktion nom: AnimateWindow
6. Funktion Adresse im Prozess: 2011308835
6. Funktion Adresse ab Offset des Moduls: 140067
7. Funktion nom: AnyPopup
7. Funktion Adresse im Prozess: 2011480293
7. Funktion Adresse ab Offset des Moduls: 311525
8. Funktion nom: AppendMenuA
8. Funktion Adresse im Prozess: 2011247766
8. Funktion Adresse ab Offset des Moduls: 78998
9. Funktion nom: AppendMenuW
9. Funktion Adresse im Prozess: 2011327550
9. Funktion Adresse ab Offset des Moduls: 158782
10. Funktion nom: ArrangeIconicWindows
10. Funktion Adresse im Prozess: 2011418844
10. Funktion Adresse ab Offset des Moduls: 250076
11. Funktion nom: AttachThreadInput
11. Funktion Adresse im Prozess: 2011285863
11. Funktion Adresse ab Offset des Moduls: 117095
12. Funktion nom: BeginDeferWindowPos
12. Funktion Adresse im Prozess: 2011199137
12. Funktion Adresse ab Offset des Moduls: 30369
13. Funktion nom: BeginPaint
13. Funktion Adresse im Prozess: 2011184489
13. Funktion Adresse ab Offset des Moduls: 15721
14. Funktion nom: BlockInput
14. Funktion Adresse im Prozess: 2011491773
14. Funktion Adresse ab Offset des Moduls: 323005
15. Funktion nom: BringWindowToTop
15. Funktion Adresse im Prozess: 2011198909
15. Funktion Adresse ab Offset des Moduls: 30141
16. Funktion nom: BroadcastSystemMessage
16. Funktion Adresse im Prozess: 2011484994
16. Funktion Adresse ab Offset des Moduls: 316226
17. Funktion nom: BroadcastSystemMessageA
17. Funktion Adresse im Prozess: 2011484994
17. Funktion Adresse ab Offset des Moduls: 316226
18. Funktion nom: BroadcastSystemMessageW
18. Funktion Adresse im Prozess: 2011315291
18. Funktion Adresse ab Offset des Moduls: 146523
19. Funktion nom: CallMsgFilter
19. Funktion Adresse im Prozess: 2011315745
19. Funktion Adresse ab Offset des Moduls: 146977
20. Funktion nom: CallMsgFilterA
20. Funktion Adresse im Prozess: 2011315745
20. Funktion Adresse ab Offset des Moduls: 146977
21. Funktion nom: CallMsgFilterW
21. Funktion Adresse im Prozess: 2011208178
21. Funktion Adresse ab Offset des Moduls: 39410
22. Funktion nom: CallNextHookEx
22. Funktion Adresse im Prozess: 2011252324
22. Funktion Adresse ab Offset des Moduls: 83556
23. Funktion nom: CallWindowProcA
23. Funktion Adresse im Prozess: 2011196117
23. Funktion Adresse ab Offset des Moduls: 27349
24. Funktion nom: CallWindowProcW
24. Funktion Adresse im Prozess: 2011196146
24. Funktion Adresse ab Offset des Moduls: 27378
25. Funktion nom: CascadeChildWindows
25. Funktion Adresse im Prozess: 2011418858
25. Funktion Adresse ab Offset des Moduls: 250090
26. Funktion nom: CascadeWindows
26. Funktion Adresse im Prozess: 2011465153
26. Funktion Adresse ab Offset des Moduls: 296385
27. Funktion nom: ChangeClipboardChain
27. Funktion Adresse im Prozess: 2011256424
27. Funktion Adresse ab Offset des Moduls: 87656
28. Funktion nom: ChangeDisplaySettingsA
28. Funktion Adresse im Prozess: 2011485843
28. Funktion Adresse ab Offset des Moduls: 317075
29. Funktion nom: ChangeDisplaySettingsExA
29. Funktion Adresse im Prozess: 2011485873
29. Funktion Adresse ab Offset des Moduls: 317105
30. Funktion nom: ChangeDisplaySettingsExW
30. Funktion Adresse im Prozess: 2011429049
30. Funktion Adresse ab Offset des Moduls: 260281
31. Funktion nom: ChangeDisplaySettingsW
31. Funktion Adresse im Prozess: 2011429019
31. Funktion Adresse ab Offset des Moduls: 260251
32. Funktion nom: ChangeMenuA
32. Funktion Adresse im Prozess: 2011376593
32. Funktion Adresse ab Offset des Moduls: 207825
33. Funktion nom: ChangeMenuW
33. Funktion Adresse im Prozess: 2011465321
33. Funktion Adresse ab Offset des Moduls: 296553
34. Funktion nom: CharLowerA
34. Funktion Adresse im Prozess: 2011210584
34. Funktion Adresse ab Offset des Moduls: 41816
35. Funktion nom: CharLowerBuffA
35. Funktion Adresse im Prozess: 2011210723
35. Funktion Adresse ab Offset des Moduls: 41955
36. Funktion nom: CharLowerBuffW
36. Funktion Adresse im Prozess: 2011190487
36. Funktion Adresse ab Offset des Moduls: 21719
37. Funktion nom: CharLowerW
37. Funktion Adresse im Prozess: 2011190540
37. Funktion Adresse ab Offset des Moduls: 21772
38. Funktion nom: CharNextA
38. Funktion Adresse im Prozess: 2011188676
38. Funktion Adresse ab Offset des Moduls: 19908
39. Funktion nom: CharNextExA
39. Funktion Adresse im Prozess: 2011479374
39. Funktion Adresse ab Offset des Moduls: 310606
40. Funktion nom: CharNextW
40. Funktion Adresse im Prozess: 2011190249
40. Funktion Adresse ab Offset des Moduls: 21481
41. Funktion nom: CharPrevA
41. Funktion Adresse im Prozess: 2011253369
41. Funktion Adresse ab Offset des Moduls: 84601
42. Funktion nom: CharPrevExA
42. Funktion Adresse im Prozess: 2011479419
42. Funktion Adresse ab Offset des Moduls: 310651
43. Funktion nom: CharPrevW
43. Funktion Adresse im Prozess: 2011190310
43. Funktion Adresse ab Offset des Moduls: 21542
44. Funktion nom: CharToOemA
44. Funktion Adresse im Prozess: 2011182664
44. Funktion Adresse ab Offset des Moduls: 13896
45. Funktion nom: CharToOemBuffA
45. Funktion Adresse im Prozess: 2011341958
45. Funktion Adresse ab Offset des Moduls: 173190
46. Funktion nom: CharToOemBuffW
46. Funktion Adresse im Prozess: 2011472284
46. Funktion Adresse ab Offset des Moduls: 303516
47. Funktion nom: CharToOemW
47. Funktion Adresse im Prozess: 2011472215
47. Funktion Adresse ab Offset des Moduls: 303447
48. Funktion nom: CharUpperA
48. Funktion Adresse im Prozess: 2011184843
48. Funktion Adresse ab Offset des Moduls: 16075
49. Funktion nom: CharUpperBuffA
49. Funktion Adresse im Prozess: 2011245428
49. Funktion Adresse ab Offset des Moduls: 76660
50. Funktion nom: CharUpperBuffW
50. Funktion Adresse im Prozess: 2011184982
50. Funktion Adresse ab Offset des Moduls: 16214
51. Funktion nom: CharUpperW
51. Funktion Adresse im Prozess: 2011185035
51. Funktion Adresse ab Offset des Moduls: 16267
52. Funktion nom: CheckDlgButton
52. Funktion Adresse im Prozess: 2011285959
52. Funktion Adresse ab Offset des Moduls: 117191
53. Funktion nom: CheckMenuItem
53. Funktion Adresse im Prozess: 2011328763
53. Funktion Adresse ab Offset des Moduls: 159995
54. Funktion nom: CheckMenuRadioItem
54. Funktion Adresse im Prozess: 2011340619
54. Funktion Adresse ab Offset des Moduls: 171851
55. Funktion nom: CheckRadioButton
55. Funktion Adresse im Prozess: 2011283379
55. Funktion Adresse ab Offset des Moduls: 114611
56. Funktion nom: ChildWindowFromPoint
56. Funktion Adresse im Prozess: 2011340410
56. Funktion Adresse ab Offset des Moduls: 171642
57. Funktion nom: ChildWindowFromPointEx
57. Funktion Adresse im Prozess: 2011281464
57. Funktion Adresse ab Offset des Moduls: 112696
58. Funktion nom: CliImmSetHotKey
58. Funktion Adresse im Prozess: 2011410204
58. Funktion Adresse ab Offset des Moduls: 241436
59. Funktion nom: ClientThreadSetup
59. Funktion Adresse im Prozess: 2011242778
59. Funktion Adresse ab Offset des Moduls: 74010
60. Funktion nom: ClientToScreen
60. Funktion Adresse im Prozess: 2011192742
60. Funktion Adresse ab Offset des Moduls: 23974
61. Funktion nom: ClipCursor
61. Funktion Adresse im Prozess: 2011491815
61. Funktion Adresse ab Offset des Moduls: 323047
62. Funktion nom: CloseClipboard
62. Funktion Adresse im Prozess: 2011249839
62. Funktion Adresse ab Offset des Moduls: 81071
63. Funktion nom: CloseDesktop
63. Funktion Adresse im Prozess: 2011244941
63. Funktion Adresse ab Offset des Moduls: 76173
64. Funktion nom: CloseWindow
64. Funktion Adresse im Prozess: 2011418882
64. Funktion Adresse ab Offset des Moduls: 250114
65. Funktion nom: CloseWindowStation
65. Funktion Adresse im Prozess: 2011244913
65. Funktion Adresse ab Offset des Moduls: 76145
66. Funktion nom: CopyAcceleratorTableA
66. Funktion Adresse im Prozess: 2011332075
66. Funktion Adresse ab Offset des Moduls: 163307
67. Funktion nom: CopyAcceleratorTableW
67. Funktion Adresse im Prozess: 2011234153
67. Funktion Adresse ab Offset des Moduls: 65385
68. Funktion nom: CopyIcon
68. Funktion Adresse im Prozess: 2011328654
68. Funktion Adresse ab Offset des Moduls: 159886
69. Funktion nom: CopyImage
69. Funktion Adresse im Prozess: 2011232406
69. Funktion Adresse ab Offset des Moduls: 63638
70. Funktion nom: CopyRect
70. Funktion Adresse im Prozess: 2011194030
70. Funktion Adresse ab Offset des Moduls: 25262
71. Funktion nom: CountClipboardFormats
71. Funktion Adresse im Prozess: 2011250066
71. Funktion Adresse ab Offset des Moduls: 81298
72. Funktion nom: CreateAcceleratorTableA
72. Funktion Adresse im Prozess: 2011325429
72. Funktion Adresse ab Offset des Moduls: 156661
73. Funktion nom: CreateAcceleratorTableW
73. Funktion Adresse im Prozess: 2011327988
73. Funktion Adresse ab Offset des Moduls: 159220
74. Funktion nom: CreateCaret
74. Funktion Adresse im Prozess: 2011196313
74. Funktion Adresse ab Offset des Moduls: 27545
75. Funktion nom: CreateCursor
75. Funktion Adresse im Prozess: 2011422321
75. Funktion Adresse ab Offset des Moduls: 253553
76. Funktion nom: CreateDesktopA
76. Funktion Adresse im Prozess: 2011418576
76. Funktion Adresse ab Offset des Moduls: 249808
77. Funktion nom: CreateDesktopW
77. Funktion Adresse im Prozess: 2011176813
77. Funktion Adresse ab Offset des Moduls: 8045
78. Funktion nom: CreateDialogIndirectParamA
78. Funktion Adresse im Prozess: 2011255720
78. Funktion Adresse ab Offset des Moduls: 86952
79. Funktion nom: CreateDialogIndirectParamAorW
79. Funktion Adresse im Prozess: 2011225486
79. Funktion Adresse ab Offset des Moduls: 56718
80. Funktion nom: CreateDialogIndirectParamW
80. Funktion Adresse im Prozess: 2011207945
80. Funktion Adresse ab Offset des Moduls: 39177
81. Funktion nom: CreateDialogParamA
81. Funktion Adresse im Prozess: 2011214621
81. Funktion Adresse ab Offset des Moduls: 45853
82. Funktion nom: CreateDialogParamW
82. Funktion Adresse im Prozess: 2011304876
82. Funktion Adresse ab Offset des Moduls: 136108
83. Funktion nom: CreateIcon
83. Funktion Adresse im Prozess: 2011356336
83. Funktion Adresse ab Offset des Moduls: 187568
84. Funktion nom: CreateIconFromResource
84. Funktion Adresse im Prozess: 2011422515
84. Funktion Adresse ab Offset des Moduls: 253747
85. Funktion nom: CreateIconFromResourceEx
85. Funktion Adresse im Prozess: 2011327204
85. Funktion Adresse ab Offset des Moduls: 158436
86. Funktion nom: CreateIconIndirect
86. Funktion Adresse im Prozess: 2011328274
86. Funktion Adresse ab Offset des Moduls: 159506
87. Funktion nom: CreateMDIWindowA
87. Funktion Adresse im Prozess: 2011295918
87. Funktion Adresse ab Offset des Moduls: 127150
88. Funktion nom: CreateMDIWindowW
88. Funktion Adresse im Prozess: 2011357207
88. Funktion Adresse ab Offset des Moduls: 188439
89. Funktion nom: CreateMenu
89. Funktion Adresse im Prozess: 2011247347
89. Funktion Adresse ab Offset des Moduls: 78579
90. Funktion nom: CreatePopupMenu
90. Funktion Adresse im Prozess: 2011249717
90. Funktion Adresse ab Offset des Moduls: 80949
91. Funktion nom: CreateWindowExA
91. Funktion Adresse im Prozess: 2011204611
91. Funktion Adresse ab Offset des Moduls: 35843
92. Funktion nom: CreateWindowExW
92. Funktion Adresse im Prozess: 2011204561
92. Funktion Adresse ab Offset des Moduls: 35793
93. Funktion nom: CreateWindowStationA
93. Funktion Adresse im Prozess: 2011418446
93. Funktion Adresse ab Offset des Moduls: 249678
94. Funktion nom: CreateWindowStationW
94. Funktion Adresse im Prozess: 2011175119
94. Funktion Adresse ab Offset des Moduls: 6351
95. Funktion nom: CtxInitUser32
95. Funktion Adresse im Prozess: 2011420512
95. Funktion Adresse ab Offset des Moduls: 251744
96. Funktion nom: DdeAbandonTransaction
96. Funktion Adresse im Prozess: 2011483635
96. Funktion Adresse ab Offset des Moduls: 314867
97. Funktion nom: DdeAccessData
97. Funktion Adresse im Prozess: 2011351713
97. Funktion Adresse ab Offset des Moduls: 182945
98. Funktion nom: DdeAddData
98. Funktion Adresse im Prozess: 2011451656
98. Funktion Adresse ab Offset des Moduls: 282888
99. Funktion nom: DdeClientTransaction
99. Funktion Adresse im Prozess: 2011348707
99. Funktion Adresse ab Offset des Moduls: 179939
100. Funktion nom: DdeCmpStringHandles
100. Funktion Adresse im Prozess: 2011340578
100. Funktion Adresse ab Offset des Moduls: 171810
101. Funktion nom: DdeConnect
101. Funktion Adresse im Prozess: 2011347316
101. Funktion Adresse ab Offset des Moduls: 178548
102. Funktion nom: DdeConnectList
102. Funktion Adresse im Prozess: 2011423602
102. Funktion Adresse ab Offset des Moduls: 254834
103. Funktion nom: DdeCreateDataHandle
103. Funktion Adresse im Prozess: 2011351079
103. Funktion Adresse ab Offset des Moduls: 182311
104. Funktion nom: DdeCreateStringHandleA
104. Funktion Adresse im Prozess: 2011322392
104. Funktion Adresse ab Offset des Moduls: 153624
105. Funktion nom: DdeCreateStringHandleW
105. Funktion Adresse im Prozess: 2011357030
105. Funktion Adresse ab Offset des Moduls: 188262
106. Funktion nom: DdeDisconnect
106. Funktion Adresse im Prozess: 2011349894
106. Funktion Adresse ab Offset des Moduls: 181126
107. Funktion nom: DdeDisconnectList
107. Funktion Adresse im Prozess: 2011425358
107. Funktion Adresse ab Offset des Moduls: 256590
108. Funktion nom: DdeEnableCallback
108. Funktion Adresse im Prozess: 2011414428
108. Funktion Adresse ab Offset des Moduls: 245660
109. Funktion nom: DdeFreeDataHandle
109. Funktion Adresse im Prozess: 2011351231
109. Funktion Adresse ab Offset des Moduls: 182463
110. Funktion nom: DdeFreeStringHandle
110. Funktion Adresse im Prozess: 2011320857
110. Funktion Adresse ab Offset des Moduls: 152089
111. Funktion nom: DdeGetData
111. Funktion Adresse im Prozess: 2011347045
111. Funktion Adresse ab Offset des Moduls: 178277
112. Funktion nom: DdeGetLastError
112. Funktion Adresse im Prozess: 2011430418
112. Funktion Adresse ab Offset des Moduls: 261650
113. Funktion nom: DdeGetQualityOfService
113. Funktion Adresse im Prozess: 2011344527
113. Funktion Adresse ab Offset des Moduls: 175759
114. Funktion nom: DdeImpersonateClient
114. Funktion Adresse im Prozess: 2011430473
114. Funktion Adresse ab Offset des Moduls: 261705
115. Funktion nom: DdeInitializeA
115. Funktion Adresse im Prozess: 2011322915
115. Funktion Adresse ab Offset des Moduls: 154147
116. Funktion nom: DdeInitializeW
116. Funktion Adresse im Prozess: 2011356997
116. Funktion Adresse ab Offset des Moduls: 188229
117. Funktion nom: DdeKeepStringHandle
117. Funktion Adresse im Prozess: 2011454257
117. Funktion Adresse ab Offset des Moduls: 285489
118. Funktion nom: DdeNameService
118. Funktion Adresse im Prozess: 2011321288
118. Funktion Adresse ab Offset des Moduls: 152520
119. Funktion nom: DdePostAdvise
119. Funktion Adresse im Prozess: 2011483967
119. Funktion Adresse ab Offset des Moduls: 315199
120. Funktion nom: DdeQueryConvInfo
120. Funktion Adresse im Prozess: 2011346404
120. Funktion Adresse ab Offset des Moduls: 177636
121. Funktion nom: DdeQueryNextServer
121. Funktion Adresse im Prozess: 2011425022
121. Funktion Adresse ab Offset des Moduls: 256254
122. Funktion nom: DdeQueryStringA
122. Funktion Adresse im Prozess: 2011341318
122. Funktion Adresse ab Offset des Moduls: 172550
123. Funktion nom: DdeQueryStringW
123. Funktion Adresse im Prozess: 2011454034
123. Funktion Adresse ab Offset des Moduls: 285266
124. Funktion nom: DdeReconnect
124. Funktion Adresse im Prozess: 2011424141
124. Funktion Adresse ab Offset des Moduls: 255373
125. Funktion nom: DdeSetQualityOfService
125. Funktion Adresse im Prozess: 2011348461
125. Funktion Adresse ab Offset des Moduls: 179693
126. Funktion nom: DdeSetUserHandle
126. Funktion Adresse im Prozess: 2011483468
126. Funktion Adresse ab Offset des Moduls: 314700
127. Funktion nom: DdeUnaccessData
127. Funktion Adresse im Prozess: 2011351814
127. Funktion Adresse ab Offset des Moduls: 183046
128. Funktion nom: DdeUninitialize
128. Funktion Adresse im Prozess: 2011323502
128. Funktion Adresse ab Offset des Moduls: 154734
129. Funktion nom: DefDlgProcA
129. Funktion Adresse im Prozess: 2011198284
129. Funktion Adresse ab Offset des Moduls: 29516
130. Funktion nom: DefDlgProcW
130. Funktion Adresse im Prozess: 2011198454
130. Funktion Adresse ab Offset des Moduls: 29686
131. Funktion nom: DefFrameProcA
131. Funktion Adresse im Prozess: 2011257045
131. Funktion Adresse ab Offset des Moduls: 88277
132. Funktion nom: DefFrameProcW
132. Funktion Adresse im Prozess: 2011207854
132. Funktion Adresse ab Offset des Moduls: 39086
133. Funktion nom: DefMDIChildProcA
133. Funktion Adresse im Prozess: 2011258475
133. Funktion Adresse ab Offset des Moduls: 89707
134. Funktion nom: DefMDIChildProcW
134. Funktion Adresse im Prozess: 2011207919
134. Funktion Adresse ab Offset des Moduls: 39151
135. Funktion nom: DefWindowProcA
135. Funktion Adresse im Prozess: 2011188942
135. Funktion Adresse ab Offset des Moduls: 20174
136. Funktion nom: DefWindowProcW
136. Funktion Adresse im Prozess: 2011187057
136. Funktion Adresse ab Offset des Moduls: 18289
137. Funktion nom: DeferWindowPos
137. Funktion Adresse im Prozess: 2011199190
137. Funktion Adresse ab Offset des Moduls: 30422
138. Funktion nom: DeleteMenu
138. Funktion Adresse im Prozess: 2011206297
138. Funktion Adresse ab Offset des Moduls: 37529
139. Funktion nom: DeregisterShellHookWindow
139. Funktion Adresse im Prozess: 2011419417
139. Funktion Adresse ab Offset des Moduls: 250649
140. Funktion nom: DestroyAcceleratorTable
140. Funktion Adresse im Prozess: 2011332532
140. Funktion Adresse ab Offset des Moduls: 163764
141. Funktion nom: DestroyCaret
141. Funktion Adresse im Prozess: 2011199247
141. Funktion Adresse ab Offset des Moduls: 30479
142. Funktion nom: DestroyCursor
142. Funktion Adresse im Prozess: 2011198584
142. Funktion Adresse ab Offset des Moduls: 29816
143. Funktion nom: DestroyIcon
143. Funktion Adresse im Prozess: 2011198584
143. Funktion Adresse ab Offset des Moduls: 29816
144. Funktion nom: DestroyMenu
144. Funktion Adresse im Prozess: 2011249703
144. Funktion Adresse ab Offset des Moduls: 80935
145. Funktion nom: DestroyWindow
145. Funktion Adresse im Prozess: 2011192281
145. Funktion Adresse ab Offset des Moduls: 23513
146. Funktion nom: DeviceEventWorker
146. Funktion Adresse im Prozess: 2011177929
146. Funktion Adresse ab Offset des Moduls: 9161
...
[/box:0cfc1d18f2]
maintenant klicken wir im Treeview la fois zurück sur den Prozess Tasks and Token et laisser uns la fois mittels Droit ins Treeview la fois 4000 Bytes des Prozessspeichers de TNT comme dezimale Doublewords auslesen. comme Startadresse prenons ici qui Ladeadresse qui USER32.DLL (chez mir 2011168768).
chez mir venez cela heraus:
[box:0cfc1d18f2]
X1=9460301
X2=3
X3=4
X4=65535
X5=184
X6=0
X7=64
X8=0
X9=0
X10=0
X11=0
X12=0
X13=0
X14=0
X15=0
X16=216
X17=247078670
X18=-855002112
X19=1275181089
X20=1750344141
X21=1881174889
X22=1919381362
X23=1663069537
X24=1869508193
X25=1700929652
X26=1853190688
X27=544106784
X28=542330692
X29=1701080941
X30=168627502
X31=36
X32=0
X33=-858161991
X34=-1615389187
X35=-1615389187
X36=-1615389187
X37=-1615454723
X38=-1615389481
X39=-1616626012
X40=-1615389195
X41=-1615784533
X42=-1615389188
X43=-1615249935
X44=-1615389185
X45=-1615389187
X46=-1615389308
X47=1751345490
X48=-1615389187
X49=0
X50=0
X51=0
X52=0
X53=0
X54=0
X55=17744
X56=262476
X57=989012787
X58=0
X59=0
X60=588120288
X61=201654539
X62=356352
X63=45056
X64=0
X65=130686
X66=4096
X67=339968
X68=2011168768
X69=4096
X70=512
X71=5
X72=5
X73=4
X74=0
X75=409600
X76=1024
X77=447213
X78=2
X79=262144
X80=4096
X81=1048576
X82=4096
X83=0
X84=16
X85=335248
X86=18213
X87=353461
X88=114
X89=364544
X90=30788
X91=0
X92=0
X93=0
X94=0
X95=397312
X96=10944
X97=360102
X98=28
X99=0
X100=0
X101=0
X102=0
X103=0
X104=0
X105=0
X106=0
X107=624
X108=76
X109=4096
X110=1200
X111=0
X112=0
X113=0
X114=0
X115=0
X116=0
X117=2019914798
X118=116
X119=356202
X120=4096
X121=356352
X122=1024
X123=0
X124=0
X125=0
X126=1610612768
X127=1952539694
X128=97
X129=3712
X130=360448
X131=2560
X132=357376
X133=0
X134=0
X135=0
X136=-1073741760
X137=1920168494
X138=99
X139=32768
X140=364544
X141=31232
X142=359936
X143=0
X144=0
X145=0
X146=1073741888
X147=1818587694
X148=25455
X149=10944
X150=397312
X151=11264
X152=391168
X153=0
X154=0
X155=0
X156=1107296320
X157=989012787
X158=40
X159=989012787
X160=65586
X161=989012787
X162=40
X163=989012787
X164=63
X165=0
X166=0
X167=1279546446
X168=1279536716
X169=1162543180
X170=1279610450
X171=1143878195
X172=1191201868
X173=842221892
X174=1280066606
X175=0
X176=0
...
[/box:0cfc1d18f2]
maintenant chercher wir fois le numéro 17744 - chez mir ist cela cela Doubleword avec qui Kennumer X55. maintenant aller wir ab diesem Doubleword 13 Doublewords plus (chez mir X68) => voila, qui Ladeadresse des Moduls, chez mir qui déjà bekannte numéro 2011168768!
maintenant brauchen wir den Windows calculette et tirer de qui Einsprungsadresse (chez mir 2011299454) qui Ladeadresse (2011168768) ab:
2011299454-2011168768=130686
Mmmh - allez on alors wieder 3 Doublewords zurück, findet on ici qui Adresse qui Einsprungsfunktion qui DLL - ici mais comme Adresse ab Offset des Moduls. Würde on eh bien pour weiteren Adressen de Exportfunktionen dedans des Moduls chercher, serait on aussi ici toujours wieder pas qui Absoluten Adressen vorfinden, mais qui Offsetadressen ab Modulstart. pourquoi ist cela so important???
la fois angenommen on serait un Modul pas mittels Loadlibrary-API ou bien Profan @UseDll() magasin, mais es simple dans den grenier eines fremden Prozesses kopieren - quoi wäre sous anderem là trop changement? cet Adresse!
qui sich fragt, comment je sur solche Sachen viens => so quelque chose fällt mir dans qui règle chez meiner Nachtschicht un... |
|
| |
| |
| |
|
|
| et marchandise encore trop changement?
la fois regarder... |
|
| |
| |
| |
|
|
| | je, jne, jmp, jl, jle, oui, jae, jnl, jng et call peut-être? Verweist ca sur absolute Adresse? la fois TNT rausholen... |
|
| |
| |
| |
|
|
| cela est - si je mich de meiner Nachtschicht erholt habe  , kräftig diassemblen 
 |
|
| |
| |
| |
|
|
Michael
Wodrich | | et womit disassemblest Du? Welches Programme? |
|
| |
| Programmieren, das spannendste Detektivspiel der Welt. | 25.08.2006 ▲ |
|
| |
|
|
| | avec W32 DASM et vergleiche tirer avec TNT et umrechnen sur den Windows calculette - quelque chose schwer trop expliquer im Augenblick... |
|
| |
| |
| |
|
|
| quoi habe je avant:
je voudrais une User32.dll eines älteren Betriebsystems dans un neueres magasin et bestimmte APIs y ansprechen peut.
magasin: ne...aucune Problem (siehe dessus)
Doch irgendwo stimmen qui Adressen pour Sprünge encore pas et je lande wieder beim Ansprechen qui API dans qui alten User32.
Comme je le disais, la fois regarder wohin verkehrt gehopst wird . |
|
| |
| |
| |
|
|
Michael
Wodrich | je hatte wohl toujours à qui falschen Stelle gesucht. Brauche den pour mon ASM-Programme. merci
belle Grüße
Michael Wodrich |
|
| |
| Programmieren, das spannendste Detektivspiel der Welt. | 25.08.2006 ▲ |
|
| |
|
|
| So, qui Sprungreferenzen dedans des Quellcodes verweisen scheinbar alle sur relative Adresse - cela pourrait alors so rester, solange cet pas sur Adresen außerhalb qui DLL verweisen.
chez den Importfunktionen et en Adressen sieht cela mais anders aus, qui müßten sur jeden le cas ajusté volonté.. comment on (avec[...]  ) à qui venez et cet dans einer geladenen DLL ändert, werde je ici encore montrer. |
|
| |
| |
| |
|
(772)
Deutsch
English
Français
Español
Italia