logo

Knowledge Is Power

 
 

- Reinit des nouveaux posts -

- Recherche -

Messages Privés - Derniers posts
S'enregistrer - Login - Liste des membres
Vous logger : Login Pass

Reverse Engineering >> Offset sous Windows XP Newtopic | Reply
poster txt
bibo
Inscrit le 17-01-2004
Posté le 29-09-2004 05:29

Salut tout le monde,

Est-ce que qq\'un pourrait me donner la méthode pour trouver
l\'adresse de la fonction system() (un truc en 0x77xxxxxx) sous windows XP sp1.

J\'ai fait un bout de code qui ouvre un cmd (system(cmd.exe)), mais j\'arrive pas à trouver l\'adresse en le désassemblant avec Ollydbg.Et comme je suis pas un pro de windows

A+

Bibo
profil | Website | edit | quote
Jockoz
Inscrit le 27-04-2002
Posté le 06-10-2004 15:45

Slt bibo,

sous ollydbg il te suffit de poser un breakpoint (f2) sur l\'appel à system() et tu rentre dans le call avec f7, tu arrivera alors dans le code de la dll (crtdll.dll pour system()) et tu seras sur la bonne adresse

a+

[ Ce Message a été édité par: Jockoz le 2004-10-06 15:55 ]
profil | edit | quote
analyst
Inscrit le 19-04-2002
Avatar
Posté le 07-10-2004 00:10

Salut,

Le bon vieux LoadLibraryA sur msvcrt et ensuite le GetProcAddress sur system devrait suffire pour te donner l\'adresse de la fonction non?

Ou alors j\'ai pas compris la question..
_________________________

profil | edit | quote
elooo
Inscrit le 19-05-2003
Avatar
Posté le 11-10-2004 03:15

Tiens, j\'avais complètement zappé ce thread !!

Vi analyst a tout dit
A noter que tu peux utiliser indépendamment LoadLibrary ou GetModuleHandle pour récupérer l\'handle de la dll (msvcrt.dll), puis ensuite utiliser GetProcAddress (comme suggéré ci-dessus) pour récupérer l\'adresse de la fonction system.

Pour plus d\'info, la msdn est ton amie :>
hoop://msdn.microsoft.com/library/default.asp?url=/library/en-us/dllproc/base/loadlibrary.asp
hoop://msdn.microsoft.com/library/default.asp?url=/library/en-us/dllproc/base/getmodulehandle.asp
hoop://msdn.microsoft.com/library/default.asp?url=/library/en-us/dllproc/base/getprocaddress.asp

Sinon pour info, l\'adresse de system sur win XP SP2 c\'est 77C293C7h, et 77C28044h sous XP SP1, mais ces adresses variant d\'un OS à l\'autre et même d\'un Service Pack à un autre, si tu veux faire quelque chose d\'un peu portable, je te conseille pas de les utiliser en dur, mais plutot de les récupérer avec GetProcAddress...
profil | mail | Website | edit | quote
Newtopic | Reply

Online : AntoineBiomo, ewohumcoxuq, ikaqoboreyobo, izifolukapote, nsgfreta, ofonapota, stitilsLizfen, vusubumosoko, Wagspinia et 46 Guests


Retour Index NewFFR Repository : http://taz.newffr.com
Cagades à Stick : http://alcane.newffr.com
Forum HTML et Archive -> ici
ForumFR Sql/Xml (2006/04) (SF pas à jour du tout...) - Alive since 2001 Newffr.com
Pour toute plainte ou problème -> Contacter Borax, Hyatus, Tweakie ou Stick par message privé (ou Gueulez sur le forum :) )
Retour haut de page