VirtualFreeEx,GetModuleHandle y VirtualAllocEx

aeff · #1 26-10-2007

saludos colegas,

miren, he visto algunos usos de estas funciones VirtualFreeEx,GetModuleHandle y VirtualAllocEx, pero en realidad no entiendo muy bien que se logra con cada una de ellas, que funcíon hacen y que devuelven,

¿alguien me puede decir al respecto?

muchas garcias de antemano y un gran abrazo, "aunque no nos conozcamos en persona", son mis colegas!

saludos

[cHackAll] · #2 26-10-2007

Pues VirtualAlloc reserva un espacio en la memoria del proceso que llama a la API, VirtualAllocEx lo hace para cualquier proceso especificado como parámetro; ejemplo:

-Creas un proceso con CreateProcess, en tal caso ProcessInformation.hProcess contiene el manejador abierto del nuevo proceso del cual tu eres "dueño" pues lo creaste.
-Siendo un proceso existente y conociendo su PID lo abres con OpenProcess, para los procesos de sistema debes habilitar el SeDebugPrivilege en tu proceso.

En ambos casos tienes el manejador abierto del proceso, lo usas como primer parámetro de VirtualAllocEx para asignar un espacio de memorria, y listo el resto es lo conocido (VirtualFreeEx libera un espacio reservado).

Una analogía: GetMem te asigna un espacio en memoria al igual que VirtualAllocEx, pero con VirtualAllocEx puedes hacerle "GetMem" a otro proceso.

En fin, todos los procesos en su espacio reservado virtual tienen una copia diferente e individual de las DLLs que tienen cargadas, el SO administrará la hubicación (dónde se encuentra en la memoria), lo que significa que la librería kernel32.dll estará en el mismo lugar para todos los procesos. Lo que en realidad hace GetModuleHandle es retornarte el puntero donde se encuentra cargada la DLL que obviamente nosotros lo usamos como manejador de la librería cargada anteriormente.

Espero mi explicación sea la esperada.

Saludos

aeff · #3 27-10-2007

cHackAll, ¿es necesario abir el proceso con OpenProcess, por qué?,

¿que quieres decir con que VirtualFreeEx libera un espacio reservado?, que significa liberar en este caso?

aeff · #4 27-10-2007

y si le pasamos a la funcion GetModuleHandle el parámetro Nil, ¿que es lo que en realidad retorna?

[cHackAll] · #5 27-10-2007

OK..

Cita:

Empezado por aeff

¿que quieres decir con que VirtualFreeEx libera un espacio reservado?

Pues el espacio reservado con el VirtualAlloc o VirtualAllocEx

Cita:

Empezado por aeff

que significa liberar en este caso?

Bueno que significa liberar y asignar; antes de que vaya a extenderme con una explicación de la administración de la memoria del Güindos te daré la anterior analogía:

GetMem = VirtualAlloc
FreeMem = VirtualFree

que obviamente son espacios VIRTUALES puesto que la memoria "lineal" es un concepto de un nivel inferior de programación. Comprendamos que cada proceso tiene un espacio propio de memoria (virtual).

Cita:

Empezado por aeff

¿es necesario abir el proceso con OpenProcess, por qué?

Pues el primer caso es el que decía; creas el proceso "TU", CreateProcessInternalW o mejor dicho NtCreateProcessEx, debuelve en lamenjador del proceso ya abierto.... en CreateProcess (por ejemplo) lo que retorna es en ProcessInformation.hProcess como ya comentaba.

Ahora si quieres asignar un espacio en memoria de OTRO proceso que ya existe, debes hacerlo con un manejador, y el manejador no es el PID; OpenProcess utilizando al PID como parámetro abre dicho proceso y te retorna el manejador del proceso "abierto".

Cita:

Empezado por aeff

y si le pasamos a la funcion GetModuleHandle el parámetro Nil, ¿que es lo que en realidad retorna?

Pues lo que retorna es la hucación donde ha sido cargado el mismo ejecutable, sabemos que el "magic signature" de un ejecutable es el "MZ", probemos con:

Código Delphi [-]var Buffer: array [0..63] of Char;
procedure TForm1.FormCreate(Sender: TObject);
var Ptr: PChar;
begin
 Ptr := PChar(GetModuleHandle(nil));
 Move(Ptr^, Buffer, High(Buffer));
 Caption := Bufferñ
end;

Saludos

aeff · #6 27-10-2007

interesante eso de "MZ" ¿me puedes explicar un poquito más acerca de eso compadre?,

entonces, el PID es id ID del proceso, pero para manejarlo/operar necesitamos un handle o manejador que es el que devuelve openprocess ¿no?,

ok, saludos man!

[cHackAll] · #7 27-10-2007

Cita:

Empezado por aeff

interesante eso de "MZ" ¿me puedes explicar un poquito más acerca de eso compadre?,

entonces, el PID es id ID del proceso, pero para manejarlo/operar necesitamos un handle o manejador que es el que devuelve openprocess ¿no?,

ok, saludos man!

MZ -> Mark Zbikowski

Estamos para ayudar en lo posible compadre!

Saludos

aeff · #8 27-10-2007

de acuerdo compaaaadreeeee!!!,

curioso eso del Hacker loco ese!!

saludos, naaaaagüeee!!! esto si que es de mi propio origen!