Jump to content

Recommended Posts

Posted

Salut, am 2 functii si vreau sa le fac detour:


private void WriteTempRezults(string iD, string test, string points, string time, string memory, string msg)
private void InsertListView(string testNumber, string points, string time, string memory, string msg)

Problema este ca nu pot sa gasesc adresele la care se afla functiile. Orice indicatie ar bine primita.

Aplicatie: Evaluator

Virustotal: https://www.virustotal.com/sv/file/8848b.../analysis/

Posted (edited)
Posted

Am citit despre moles dar nu ma prea ajuta. Daca te-ai prins ce vreau sa fac :) , trebuie sa scriu codul in c++ si nu am voie sa ma folosesc de librarii externe, numai cele ce vin cu compilatorul ... idei ?

Posted

1. MSIL disassembly

2. Vezi bytecode pentru invoke

3. Pune un jmp din MSIL (banuiesc ca exista un echivalent)

4. Functia ta sa preia argumentele (stack?)

5. Restore original bytes (ca la hook obisnuit)

6. Restaurezi bytes

In fine, sa faci echivalentul unui hook din C++.

Sfaturi:

1. Invata MSIL

2. Invata bytecode MSIL

Posted (edited)

Nu IL in assembly. IL in bytecode de IL. IL opcodes.

Interpretorul de MSIL nu are de-a face cu ASM (-ul clasic). El citeste opcode-urile de MSIL

Adica:

call void [mscorlib]System.Console::Write (string)

Poate sa fie 0xFF 0x11223344 unde 0xFF == call si 0x11223344 sa fie adresa functiei.

Cautai putin dar nu gasii documentatie legata de asa ceva. Dar probabil sunt tool-uri care te ajuta, MSIL decompiler, .NET reflector, de genul acesta. Nu stiu pentru ca nu le-am incercat dar verifica daca au optiune sa iti arate bytecode.

Edit: Write MSIL Code on the Fly with the .NET Framework Profiling API

Edit: CLR Injection: Runtime Method Replacer - CodeProject

Edited by Nytro

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...