Aahhhhhhhhhhhhhhhhh

Nochmal ... auch wenn das alles hübsch und schön ist, nämlich hübsch doof und schön dämlich ... warum wollt ihr immer mit dem Kopf durch die Wand? Die ganzen tollen API-Hooks laufen nur, wenn man auch entsprechende Privs auf dem System hat. Das Debug-Priv ist meist Minimum. Oder man läßt sich einmalig irgendwelchen Code vom Admin im System implantieren ... aber mal ehrlich: Fensterhooks bieten genau das was stoxx will. Sie ermöglichen es einer DLL im Kontext eines beliebigen Prozesses mit Fenster zu laufen und den Rest (Subclassing) bekommt man noch gratis drauf.

Aber vielleicht denke ich auch nur falsch, wenn ein 50-Zeiler das erledigen kann und ich doch einen so schönen 500-Zeiler nehmen könnte ... nehmen wir doch einfach den 500-Zeiler. Vielleicht schaffen wir dann auch die gleiche relative Fehlerquote. Absolut wären das dann immerhin 10mal soviele Fehler.

Als Nachtrag: Hagens Idee finde ich noch am charmantesten. Allerdings ist mir nicht bekannt, daß dies auch nur annähernd mit Delphi realisierbar ist. In C sind das nur ein paar kleine Kommandos an den Linker und die Section der PE ist shared ...

@toms: Also die Sachen von Aphex fand ich schon immer ganz nett, aber dieses "Rootkit" ( http://www.virustrading.com/positron...t_root_kit.rar ) ist einfach nur lächerlich. Da hat wohl jemand nicht den Sinn hinter "Rootkit" verstanden. Das ist, glaube ich, das erste Rootkit welches mir unterkommt, das im Usermode arbeitet *ROFL*

Ich kann gar nicht soviel fressen wie ich kotzen möchte ...:

... im Usermode ... *muhahahaha*

Also "unique" sind seine Sachen wirklich ... aber IMO nicht so, wie er sich das denkt *g*

Wer sagt, dass ich dessen Code benutze? Mir ging es bei dem Link mehr um das Hintergrundwissen, dass auf dieser Seite bereitgestellt wird. Mit diesem Wissen konnte ich dann schon mein eigenes Testprojekt schreiben, ohne je den Code von madshi angeschaut zu haben (den gibt es sowieso nicht zum Download).

*g* Irrtum ... der Code ist schließlich in den Units enthalten

Aber ich verstehe schon was du meinst so gesehen möchte ich noch auf Microsoft Research Detours verweisen
BTW: Ich hatte ja garnicht behauptet, daß du es benutzt. Wollte nur auf die Unzulänglichkeiten aufmerksam machen.

Hi zusammen !


geht denn das nun oder nicht ?
wenn ja, wie ?

hmmm .. irgendwie seh ich noch nicht so recht den zusammenhang ..

Also stoxx ... wie oben schon erwähnt. Warum willst du mit dem Kopf durch die Wand?

Du hast bereits einen Hook. Jetzt darf dieser Hook nur nicht mehr Filtern, sondern muß eben nur durchlassen. Als nächstes schreibst du die Subclassing-Routine und fügst die in den Prozess ein, in dem sie sein soll. Voila, es ist angerichtet.

Hallo zusammen,

also mir gefällt die Idee mit dem injecten einer DLL recht gut.
Vielen Dank nochmal an alle !

@Assa .. das mit dem Hook gefällt mir irgendwie nicht, wäre ja dann doppelt gemoppelt.
Einmal gehen alle Messages durch den Hook und zum zweiten mal in der eigenen neuen Wndproc.

Jetzt aber nochmal konkrekt die Frage.
Ich möchte zwei fremde Applicationen subclassen.
Ich habe jetzt eine DLL (in meinem Programmverzeichnis)
In diese wird die neue wndprog mit setWindowLong umgeleitet
Dann Injecte ich sie den zwei Prozessen.
Ist die vorgehensweise richtig ?

Aber wie kann ich die beiden "Daten" der zweimal geladenen Dll unterschieden jetzt ?
Habe noch keine konkrete vorstellung von dem ganzen.

@Assarbad: die neue Fensterprocedure in dem MMF nutzt keinerlei Delphi RTL, ist so codiert das sie an jede Stelle des Speichers verschoben werden kann, hat also keine relativen Adressen auf Importe in unseren Prozess oder Sprünge an Adressen in unserem Prozess, und alle nötigen Importe auf die Kernel32.dll werden entweder in einer eigenen "Import" tabelle gemacht oder eben dynamisch.

Also, man würde in das MMF eine Datenstruktur ablegen wie

Nun wird das MMF erzeugt und obige Datenstruktur an erster Position initialisiert. Dahinter steht der Code der nur auf diese PHookData zugreift.
Der Code könnte so aussehen:

In den ersten Bytes von HookData steht dynamischer Code

D.h. im MMF steht als erstes eine HookData Struktur, danach unser PASCAL Code.
Wir initialisieren das MMF, setzten AssemblerHook auf obigen Assembler, initialisieren die Importe und kopieren unseren PASCAL Code an Code.

Danach ist die Adresse des MMFs die Adresse unserer neuen WindowProc().

Gruß Hagen

Übrigens, diese Technik kann in jeden beliebigen Prozess Code injezieren. D.h. das MMF kann auch dem Ziel-Prozess zugeordnet werden, oder besser noch einfach nur global für alle Prozesse gültig sein.

Nimmt man nun die Remote Thread funktionen und setzt deren Thread funktion auf eine so wie oben erzeugt "Funktion" dann könnte diese Funktion das Fenster subclassen IM Zielprozess. Somit wäre es nicht nötig eine Debug/Hook DLL zu injezieren.

Gruß Hagen

@Hagen: Ali G. wuerde sagen RESTECP
IMO eine sehr elegante Methode. Ich dachte urspruenglich, du woelltest eine Shared Section in der PE erzeugen, was bekanntlich auch moeglich ist. Nur eben nicht in Delphi.
Stell das doch bitte mal in die Codelib
@stoxx: Nimm Hagens Methode. Eleganter als ein Hook ist sie allemal (zumindest auf der NT-Plattform). Allerdings ist Fenster-Hooking als Methode zum Injezieren von DLLs in fremde Prozesse durchaus anerkannt. Also keinerlei Grund dies abzulehnen.

Gruss,

Oliver