12 Comments

  • 1. TrOuBLe StarTeR  |  décembre 29th, 2006 at 18:15

    Bien beau l’article …

    :)))

  • 2. Christophe  |  février 13th, 2007 at 16:49

    Très bon article, en effet :-)

  • 3. Aemeath  |  avril 16th, 2007 at 23:00

    Fun =)

  • 4. Ivanlef0u’s Blog &r&hellip  |  juillet 10th, 2007 at 17:33

    [...] http://ivanlef0u.free.fr/?p=5 [...]

  • 5. o0Zz  |  mars 18th, 2008 at 18:11

    Très bon article qui m’a beaucoup aidé ! ;)

    Cependant j’ai une petite question : Serais-tu où trouver l’adresse de la fonction AcceptEx qui, a priori, serais dans la DLL mswsock.dll.

    J’aimerais la hooker, mais je n’ai pas réussi à récupérer sont adresse.

    Aurais tu le temps d’y jeter un petit coup d’oeil ? ;)

    Merci d’avance et bonne continuation pour ton blog ;)

  • 6. admin  |  mars 19th, 2008 at 00:42

    Yo

    AcceptEx est directement exportée par mswsock.dll. Pour avoir son adresse il suffit donc de faire un :
    GetProcAdress(GetModuleHandle(« mswsock.dll »), « AcceptEx »);

    Après pour la hooker il suffit de mettre un hook dans l’IAT de ton module qui l’importe.

  • 7. o0Zz  |  mars 19th, 2008 at 11:21

    Salut,

    Bon voila il suffi que tu le dise pour que ça marche.
    Très bizarre surtout que ça à était la première chose que j’ai testé avant de venir te voir…

    Enfin bref, en tout cas merci beaucoup et bonne continuation dans ton record de mangé de chocapics tapz ;)

  • 8. Cyb  |  août 13th, 2008 at 10:53

    Plop.

    Bon, sous Microsoft Windows Vista Business
    Edition, 32-bit Service Pack 1 [version 6.0.6001],
    il semble que les fonctions du Windows Socket
    Provider ne soient pas appelées. J’ai fait une
    petite DLL de Detours pour en être sûr, et on
    ne voit rien ….. Je vais donc faire la même chose
    que toi dans la bibliothèque WS2_32.DLL pour
    voir si j’y vois plus clair. Si tu l’as déjà fait, tiens
    moi au courant. Merci.

    Cyb

  • 9. admin  |  août 13th, 2008 at 11:14

    Yo, je trouve cela étonnant, j’ai plus le problème en tête je te conseil de lire la doc, dsl :p Transport Service Providers

  • 10. Cyb  |  août 13th, 2008 at 13:12

    Bon, en fait, je devais pas être bien réveillé ce
    matin. Il y a un décalage en dur dans ton code,
    le fameux 0×260. Sur ma machine, cet offset est
    de 0x3D8. Je vais regarder pourquoi, et si je peux
    pas rendre ca un peu plus hacky pour que ca
    marche sur mon XP et mon Vista à la fois.
    Merci pour le lien…

    Cyb.

  • 11. admin  |  août 13th, 2008 at 13:30

    Ok, chose normale sous Windows :) Au pire tu regarde la version de l’os sur laquelle tu te trouves et tu définis les offsets en fonction … Il doit surement avoir un moyen de retrouver cette table dynamiquement par exemple en cherchant dans mswsock.dll une fonction qui la référence puis d’en extraire l’offset, à voir …

  • 12. Cyb  |  août 13th, 2008 at 13:39

    Visiblement, WSPStartup s’y prend toujours de la
    même manière :


    .text:6C9489CA mov edi, [ebp+lpProcTable]
    .text:6C9489CD push 1Eh
    .text:6C9489CF pop ecx
    .text:6C9489D0 mov esi, offset off_6C9753D8
    .text:6C9489D5 rep movsd

    on le sent bien le 0x3D8 là …..
    Faut que je trouve comment récupérer ce truc.
    Merci pour tout, ton blog est super.

    Cyb

Trackback this post