AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Probleme beim Patchen der IAT

Ein Thema von CorVu5 · begonnen am 14. Mär 2008 · letzter Beitrag vom 18. Mär 2008
 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
CorVu5

Registriert seit: 31. Dez 2007
26 Beiträge
 
Delphi 7 Professional
 
#6

Re: Probleme beim Patchen der IAT

  Alt 18. Mär 2008, 19:17
Ja, ich schon wieder
zu früh gefreut..
Der Code läuft jetzt ohne Fehler durch und es werden auch sämtliche Funktionen im IAT gefunden, die API (MessageBoxA) bleibt aber ausführbar
Mein modifizierter Code:
zusammenfalten · markieren
Delphi-Quellcode:
procedure PatchIAT(Dll : Pchar; OldFunction :String; newFunc : Pointer);
var
image : LoadedImage;
pImageImportDir : PIMAGEIMPORTDESCRIPTOR;
last : PImageSectionHEader;
size : Cardinal;
dllname : Pchar;
pThunk : PImageThunkData;
lTrue : Boolean;
written : Cardinal;
pByName : pImageImportByName;
begin
MapAndLoad(Pchar(ParamStr(0)),nil,@image,True,True);
pImageImportDir := ImageDirectoryEntryToData(
                    image.MappedAddress
                    ,False
                    ,IMAGE_DIRECTORY_ENTRY_IMPORT
                    ,size);
while pImageImportDir.NameOffset <> 0 Do begin
  dllname := ImageRVAToVA(image.FileHeader,image.MappedAddress,pImageImportDir.NameOffset,last);
  If (lstrcmpiA(dllname , Dll) = 0) Then begin
    Showmessage('DLL GEFUNDEN');
    pThunk := ImageRVAToVA(image.FileHeader,image.MappedAddress,pImageImportDir.IATOffset,last);
    While pThunk^.FunctionPtr <> nil Do begin
      pbyName := ImageRVAtoVA(image.FileHeader,image.MappedAddress,Cardinal(pThunk^.AddressOfData),last);;
      //Showmessage(pbyname.Name);
      IF pbyName.Name = OldFunction Then begin
        Showmessage('FUNKTION GEFUNDEN');
        VirtualProtectEx(GetCurrentProcess,pThunk^.FunctionPtr,4,PAGE_EXECUTE_READWRITE,written);
        WriteProcessMemory(GetCurrentProcess, pThunk^.FunctionPtr, Addr(newFunc), sizeof(newFunc), Written);
        {pThunk^.FunctionPtr := newFunc;}
      end;
        Inc(Pthunk);
    end;
  end;
  Inc(pImageImportDir);
end;
UnmapAndLoad(@image);
end;





function newMessageBoxA(hWnd: HWND; lpText, lpCaption: PAnsiChar; uType: UINT): Integer; stdcall;
begin
Form1.Button1.Caption := 'NO MSGBOX!';
end;

procedure TForm1.Button1Click(Sender: TObject);
begin
PatchIAT('user32.dll','MessageBoxA',@newMessageBoxA);
end;

procedure TForm1.Button2Click(Sender: TObject);
begin
MessageBoxA(0,'DD','DD',0);
end;
Ich kann leider auch mit dem Olly nicht testen, ob wirklich in die Iat geschrieben wird
Weiß wer woran das liegt?
Hamtaro
Das Leben ist wie ein Strand...und dann stirbt man.
  Mit Zitat antworten Zitat
 

« Vorheriges Thema | Nächstes Thema »

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus
Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 23:13 Uhr.
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz