Indetectables

Indetectables es una Comunidad de Hacking, Seguridad Informática, Impresión 3d y Desarrollo
./index.php

Alternativa a GetModuleHandle ?

https://www.indetectables.net/viewtopic.php?t=36625

Página 1 de 1

Alternativa a GetModuleHandle ?

Publicado: 30 Dic 2011, 16:31
por osnaraus
Bueno, eso, estaba buscando alguna alternativa o "Custom GetModuleHandle" buscando por internet he encontrado alguna funcion en C++:
[Enlace externo eliminado para invitados]
o algo en ASM en el Blog de Thor:
[Enlace externo eliminado para invitados]

Me gustaria saber si saben de alguna otra variante o modulo en C nativo. Gracias

Re: Alternativa a GetModuleHandle ?

Publicado: 30 Dic 2011, 17:35
por FroZenFeW
osnaraus escribió:Bueno, eso, estaba buscando alguna alternativa o "Custom GetModuleHandle" buscando por internet he encontrado alguna funcion en C++:
[Enlace externo eliminado para invitados]
o algo en ASM en el Blog de Thor:
[Enlace externo eliminado para invitados]

Me gustaria saber si saben de alguna otra variante o modulo en C nativo. Gracias
Lo del blog de thor no es asm, el codigo que desamblo si y era para ver que apis cargaba el ejecutable y en su mismo post esta la alternativa que puede ser LoadLibrary claro si es para tener el handle o instancia de una libreria que es lo que mas se usa en el "malware" para no importar las funciones al ejecutable y reducir su peso

Código: Seleccionar todo

HMODULE h = GetModuleHandle("kernel32.dll");
GetProcAddress(h, "ExitProcess");
alternativa

Código: Seleccionar todo

HMODULE h = LoadLibrary("User32.dll");
GetProcAddress(h, "MessageBoxA");
con respecto a crear esa funcion en c nativo pues si es para obtener el handle o cargar una libreria supongamos lo ultimo la funcion dlopen pero recordemos el formato de las cabeceras de windows y bla bla bla todo eso

saludos

Re: Alternativa a GetModuleHandle ?

Publicado: 30 Dic 2011, 18:17
por osnaraus
Gracias FzF por la ayuda

Re: Alternativa a GetModuleHandle ?

Publicado: 30 Dic 2011, 18:34
por linkgl
Como dato extra por si a alguien le es de ayuda, GetModuleHandle se utiliza cuando el módulo ya esta cargando en la memoria virtual del proceso y LoadLibrary se usa para cargar el módulo :P

Re: Alternativa a GetModuleHandle ?

Publicado: 04 Ene 2012, 15:42
por mDrinky
Esto es lo que buscas:

[Enlace externo eliminado para invitados]

Puedes crrear la funcion sin usar ninguna API de W$.

saludos.

Re: Alternativa a GetModuleHandle ?

Publicado: 20 Jun 2012, 20:07
por dofo
Muy interesante, lo buscaba hace tiempo :D

Re: Alternativa a GetModuleHandle ?

Publicado: 20 Jun 2012, 22:48
por orlando9427
Existe una API nativa, pero dos de sus parámetros son desconocidos, aún así la dejo por si alguien quiere experimentar (Cuidado yo consegui un BSOD y jodí la MBR xD).
Se encuentra en ntdll.lib.

Código: Seleccionar todo

NTSYSAPI 
NTSTATUS
NTAPI
LdrGetDllHandle(
  IN PWORD                pwPath OPTIONAL,
  IN PVOID                Unused OPTIONAL,
  IN PUNICODE_STRING      ModuleFileName,
  OUT PHANDLE             pHModule );
pwPath
- ???

Unused
- ???

ModuleFileName
Path to file + Dll name, in NT directory format.

pHModule
Pointer to received HMODULE.
Saludos!
Todos los horarios son UTC+02:00
Página 1 de 1

© Indetectables Team

Desarrollado por Indetectables LAB