Genau, du hast im oberen Post einen 5-Byte langen Call welcher relativ von der Adresse springt wo er im Speicher liegt. Also E8 für Call und in den anderen 4 Bytes die Distanz. Daruch dass du "call dword ptr[xzy]" benutzt wird zu der Adresse gesprungen welche an dem angegebenen Pointer steht, was in deinem Fall wie du richtig erkannt hast die Referenz aus der Importtabelle ist.
Vielleicht ist folgendes für dich interessant, das habe ich vor Jahren mal geschrieben, es wird mittels des PE Editors LordPE noch ein neuer Import hinzugefügt und benutzt: http://techcat.de/index.php?tutorials-1
Das Target ist sogar auch der Notepad.
PS: GetModuleHandle und LoadLibrary geben beide das Gleiche zurück, nur dass LoadLibrary die dll halt läd wenn sie noch nicht geladen war. Was ihm in diesem Fall halt eh nichts gebracht hätte weil er es immer noch relativ gecallt hätte.
Ergebnis 1 bis 5 von 5
Thema: Frage zu Injection
Baum-Darstellung
-
15.02.2016, 17:05 #4Tron
- Registriert seit
- 23.07.2007
- Beiträge
- 801
AW: Frage zu Injection
Geändert von gORDon_vdLg (15.02.2016 um 18:11 Uhr)
-
Folgende Benutzer haben sich für diesen Beitrag bedankt:
Rothir (15.02.2016)
Zitieren