Einzelnen Beitrag anzeigen

Fridolin Walther

Registriert seit: 11. Mai 2008
Ort: Kühlungsborn
446 Beiträge
 
Delphi 2009 Professional
 
#5

Re: Delphi Code-Injection JMP Adresse ermitteln...

  Alt 21. Mai 2009, 22:50
Ich bin mir grade nicht so sicher, ob man davon ausgehen kann, daß die Funktionen im Kompilat in exakt der Reihenfolge vorliegen wie im Source und nicht durch andere Funktionen unterbrochen sind. Darauf würdest Du Dich in Deinem Falle ja verlassen. Aber angenommen, das man davon ausgehen kann, ist Deine Berechnung falsch:

Inject ist vor Code_Cave definiert (liegt also auch im Speicher vor Code_Cave). So wäre der Abstand zw. Code_Cave und Inject die größe von Inject, nicht von Code_Cave. Dort kommen 16 Bytes auf Grund des Alignments durchaus hin. Du müsstest den Abstand zw. Test und Code_Cave berechnen um die Größe von Code_Cave zu erhalten.
Fridolin Walther
  Mit Zitat antworten Zitat