4. VirtualAllocEx & CreateRemoteThread --> MessageBox

VirtualAllocEx & CreateRemoteThread --> MessageBox

  • ?

    KN4CK3R schrieb:

    nur noch so als hinweis: deine sizeoffunc muss nicht klappen. es ist nicht garantiert, dass die eine funktion wirklich hinter der anderen im speicher liegtKN4CK3R

    mag sein das es nicht standardisiert ist, aber kennst du eine Compiler, der die Funktionen umsortiere?

    0
  • K

    nein, aber möglich ist es aus PageFault Sicht schon, deswegen ja auch mein "muss nicht klappen"

    greetz KN4CK3R

    0
  • ?

    KN4CK3R schrieb:

    aber möglich ist es aus PageFault Sicht schon

    du meinst, dass eine page fault auftreten kann, wenn er die Funktion kopiert (lese zugriff)?

    0
  • K

    nein, dass immer ein PageFault auftreten würde, wenn die Funktion "weiter weg" liegt. Aber das wäre nur der Fall, wenn immer nur eine Page geladen werden könnte, ist also eher ein theoretisches Problem.
    Aber auch ohne DAS Problem baut der VS Compiler nach Funktionen auch im Releasemodus oft unnötige INT3's ein, die er mit seiner Method mitkopiert dann.

    greetz KN4CK3R

    0
  • ?

    KN4CK3R schrieb:

    nein, dass immer ein PageFault auftreten würde, wenn die Funktion "weiter weg" liegt. Aber das wäre nur der Fall, wenn immer nur eine Page geladen werden könnte, ist also eher ein theoretisches Problem.

    Wenn man davon ausgeht, dass die Funktion in der gleichen Ordnung vorlegen wie im Quellcode, dann kann ich überhaupt kein Problem erkennen. Die Funktionen müssen doch in pages liegen, die zu minnest lesbar sind - andernfalls wäre es ja nicht möglich, sie aufzurufen/auszuführen.

    KN4CK3R schrieb:

    Aber auch ohne DAS Problem baut der VS Compiler nach Funktionen auch im Releasemodus oft unnötige INT3's ein, die er mit seiner Method mitkopiert dann.

    Diese INTs gehören nicht zur Funktion, sondern werden für das Algiment nachfolgender Funktion benutzt. Zusätzlich verhindern sie auch, dass es zur Ausführung kommt, wenn dort "versehentlich" hin gesprungen wird.
    Ist aber auch völlig Egal ober er sie mit kopiert, da sie nie ausgeführt werden.

    0
  • K

    PageFault != nicht lesbar
    wegen den INTs: ist mir schon klar, ich wollte nur darauf hinaus, dass er zuviel kopiert

    greetz KN4CK3R

    0
Anmelden zum Antworten