2 Comments

  • 1. Null  |  juillet 19th, 2010 at 18:39

    Iop, super ta source, elle m’a été très utile!

    Néanmoins, si je peux me permettre une amélioration, le cas où tu copierais un JMP n’est pas couvert. Vu que les adresses de destination sont relatives, ben ça merde tout :p.

    Sinon, tu peux aussi simplifier sans utiliser de trampoline si tu tombes sur le cas d’une API qui a un prologue type 5 NOP/INT3 suivis d’un MOV EDI, EDI, en foutant un JMP SHORT -EBF9- sur le MOV EDI, EDI, et en mettant ton CALL à la place des 5 bytes au dessus.

    J’ai fait un p’tit article là dessus, bien basé sur le tien, d’ailleurs :)

    Du reste, super ton blog, vraiment intéressant! T’chaw!

  • 2. API hooking sous Windows &hellip  |  avril 25th, 2012 at 17:14

    [...] 1- Hooks inline : http://www.ivanlef0u.tuxfamily.org/?p=24 [...]

Trackback this post