Tastatur Hook
-
DarkShadow44 schrieb:
quasimodule schrieb:
wiederlegt aber nicht die Tatsache, dass nur bei den wenigsten Befehle in der x86 Architekturen, die Größe aus den Opcode-Bytes ermitteln werden kann. (Mal davon abgesehen, das das erste Byte auch eins der 4 möglichen Präfixes sein kann).
Doch das geht verdammt gut. Wie sollte man sonst Anwendungen disassemblieren können ?
Sicherlich nicht indem man das erste Byte zur Ermittlung der Befehlsgröße heranzieht! - das ist genau der Punk den ich in meine ursprünglichen Post hervorheben wollte.
-lowbyte- schrieb:
Wie bitte? Irgendwie scheinst Du da was durcheinander zu bringen!
Entschuldigung, ich hatte deine zusammenhangslosen Post nur überflogen und war der Meinung es handelt sich um einen IAT Hook.
-lowbyte- schrieb:
Die meisten Funktionen auf x86 windows systemen haben ein Prolog der 5byte ist und so aussehen
Und auf diese Annahme soll man sich dann verlassen? Freie Disassmbler librarys gibt genug, also kein Notwendigkeit um sich auf Annahmen zu verlassen.
-
quasimodule schrieb:
-lowbyte- schrieb:
Die meisten Funktionen auf x86 windows systemen haben ein Prolog der 5byte ist und so aussehen
Und auf diese Annahme soll man sich dann verlassen? Freie Disassmbler librarys gibt genug, also kein Notwendigkeit um sich auf Annahmen zu verlassen.
Ja das stimmt, deswegen schaut man sich das ganze ja auch vorher mit dem debugger an.
-
-lowbyte- schrieb:
Ja das stimmt, deswegen schaut man sich das ganze ja auch vorher mit dem debugger an.
Und das macht man dann nach jedem Update...
-
quasimodule schrieb:
-lowbyte- schrieb:
Ja das stimmt, deswegen schaut man sich das ganze ja auch vorher mit dem debugger an.
Und das macht man dann nach jedem Update...
Bei 99% der Updates kannst Du sicher sein dass sich nichts ändert! Aber verlässlich ist das natürlich nicht da haste schon recht...Um die Bytes herauszufinden macht man das Professionell natürlich mit einer Disassembler library. Oder man schreibt sich selber eine
