Есть вопрос по сплайсингу

Вобщем дело было так

Код (Text):

1.             if(VirtualProtect(&pFunc, 8, PAGE_READWRITE, &old))
2.             {
3.                 __asm
4.                 {
5.                
6.                 push ecx
7.                 push esi
8.                 push edi
9.  
10.                  mov ecx, 2 ;2x4 итого 8 байт
11.                  mov esi, [pHook] ;src
12.                  mov edi, [pFunc]   ; dst
13.                  rep movsd ;
14.                
15.                 pop edi
16.                 pop esi
17.                 pop ecx
18.  
19.                 }
20.                 MessageBox(0,"Ok",0,0);
21.             }

VirtualProtect возвращает 1, т.е. всё ок, но при попытке записи по адресу в pFunc меня выносит на KiUserExceptionDispatcher. Почему исключение ? Значит запись в тот регион не была разрешена ?

 

SZ

Для таких вопросов создан этот топик http://www.wasm.ru/forum/viewtopic.php?id=38110.

По теме: уточните причину ошибки прочитав этот топик http://www.wasm.ru/forum/viewtopic.php?id=32181&p=1.

 

а что сказал отладчик?

 

Clerk Пардон, в следующий раз буду внимательней.

Clyde
В смысле? Ничего, просто перешёл на обработку в KiUserExceptionDispatcher откуда не вернулся )

посмотрел в стек:[esp+8]=0xC0000005
действительно, нарушение доступа

Я вот ещё подумал, а может это касперыч палки в калёса вставляет. дык я его перед махинациями отключаю. странно ...

 

>>VirtualProtect(&pFunc, 8, PAGE_READWRITE, &old)
ты разрешаешь доступ к указателю, те области памяти в которой лежит адрес функции, а не к самой функции.
нужно так
VirtualProtect(pFunc, 8, PAGE_READWRITE, &old)

учите Си =)

 

izl3sa
Вам бы самому си не помешало подучить. Эти вызовы идентичны. Мало того, более корректной записью считается та, которую привёл SZ.

 

я не уверен, но может надо PAGE_EXECUTE_READWRITE вместо PAGE_READWRITE?

 

2l_inc
Протрите глаза уже

void *pFunc = SomeFunc;

pFunc != &pFunc

в pFunc хранится адрес нужной функции, изменить атрибуты памяти которой нам и нужно.
а &pFunc `вернет` всего лишь адрес переменной pFunc, а не функции. Таким образом он меняет атрибуты защиты памяти переменной, возможно стека (скорее всего переменная локальная у него).

 

izl3sa
Я так понимаю,
pFunc = значение в переменной pFunc
&pFunc = адрес самой переменной pFunc
VirtualProtect хочет получить адрес указателя на регион или адрес региона. Я так понял что адрес указателя.

Попробовал с VirtualProtectEx. Тоже возвращает true и тоже обламывается.
VirtualProtectEx((HANDLE)-1,&pFunc, 8, PAGE_READWRITE, &old).
Тут возник вопрос, а имеет ли собссно дескриптор процесса права доступа PROCESS_VM_OPERATION ?
но ведь функции возвращают тру!

wf_
я с этого начинал )
безрезультатно.

 

2SZ
что у тебя находится в pFunc? адрес функции же перехватываемой? так какого же черта ты изменяешь атрибуты памяти в которой находится переменная, а не по тому адресу где находится перехватываемая функция?
Она тру и правильно возвращает, тк изменила атрибуты стека, где находится переменная.

 

да, покажите как определена pFunc
l_inc

эти вызовы идентичны в случае если pFunс имя функции, а тут скорей всего это переменная, которая содержит адрес, стало-быть оператор & не нужен (вероятно)

 

izl3sa
Приношу свои извинения. Решил, что pFunc — это и есть функция.

 

2l_inc
да все норм =) главное разобрались =)

 

izl3sa
Попробовал без амперсенда.
кусок перед вызовом

стек перед вызовом

А адрес то NULL !

определён так
void *pFunc;
pFunc=GetProcAddress(hMod,"func");

 

2SZ
я не гадалка. Полный код приводите.
хотя попробую:
Длл подгрузили? имя точно соответствует экспортам?

 

Всё определяется правильно. и модуль и функции. все адреса правильные.
а от длл зависит ? вобщето это WS2_32.dll )

 

SZ
ну вы код приведете или дальше будем тыкать в небо пальцами?

 

+значение GetLastError сразу после LoadLibrary (можно посмотреть в Olly), чтобы не гадать .

 

ну izl3sa ну кудесник !!! )))))))
действительно менял доступ к переменной.
А NULL было потому что я в екзешнике функцию искал, бараааааааан

hMod=GetModuleHandle("IEXPLORE.EXE"); Тут я определяю что попал в нужный процесс
if(hMod)
{
hMod=GetModuleHandle("WS2_32.DLL");<=== а про дллку и забыл
pHOOK_Send=&HookSend;
__asm jmp $;бряк
pSend=(DWORD)GetProcAddress(hMod,"send");
DWORD old;
if(VirtualProtect((void*)pSend, 8, PAGE_READWRITE, &old))
{
..... далее сплайс


А, вот ещё вопрос
как правильно определить адрес моей (naked) функции ?

 

1.
>> hMod=GetModuleHandle("WS2_32.DLL");<=== а про дллку и забыл
добавьте потом if(!hMod) LoadLibrary("WS2_32.DLL");
иначе будет грустно периодически =)

2. Просто используйте её имя.