|
muy interesante pero lo cierto es que ya me he decantado por usar el debugger y sus eventos para solucionar los injertos y demas y de momento NtSetInformationThread ya está solucionada. Lo que hice fue que cuando carga ntdll.dll guardo la direccion a esa api y luego, cuando me detengo en el entrypoint pongo un breakpoint en ella, y pongo un bp en esa api y espero a que pare en ella y cuando para en ella quito ese bp y llamo a la funcion que modifica el inicio de la api por un xor eax,eax y un retn 10. Con eso va perfecto. El problema lo tengo con la otra ya que uso un context para modificar los registros y me deja cambiarlos todos pero no sr que esta pasando que eip no se cambia y lo necesito para colocar el flujo de la ejecucion en la linea donde retorna de la api. ¿Sabes que puede ser? Uso lo mismo para modificar todos los registros y solo falla con eip. Cuando solucione este fallo podre cambiar tambien lo que hice con ntsetinformationthread ya que podria poner a cero eax usando el context, realinear la pila usando esp, y posicionar el flujo usando eip y seria lo mismo pero sin modificar la dll.
|