AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Netzwerke Delphi Hooken der RecvFrom() Methode mittels uALLCollection
Thema durchsuchen
Ansicht
Themen-Optionen

Hooken der RecvFrom() Methode mittels uALLCollection

Ein Thema von C0pa · begonnen am 3. Jun 2010 · letzter Beitrag vom 9. Jun 2010
Antwort Antwort
Seite 2 von 2     12   
C0pa

Registriert seit: 25. Mai 2010
Ort: Laudenbach
23 Beiträge
 
#11

AW: Hooken der RecvFrom() Methode mittels uALLCollection

  Alt 7. Jun 2010, 23:12
DLL Code:

Delphi-Quellcode:
library hook;

uses
  Windows,
  uallHook;

{$R *.res}

type
  TsendMethod = function(s: DWord; Buf : Pointer; Len, Flags: Integer): Integer; stdcall;
  TsendToMethod = function(s: DWord; var Buf; len, flags: Integer; var addrto: DWord; tolen: Integer): Integer; stdcall;
  TrecvMethod = function(s: DWord; Buf : Pointer; Len, Flags: Integer): Integer; stdcall;
  TrecvFromMethod = function(s: DWord; var Buf; len, flags: Integer; var from: DWord; var fromlen: Integer): Integer; stdcall;
               
var
  orgiSend, newSend : TsendMethod;
  orgiRecv, newRecv : TrecvMethod;
  orgiSendto, newSendTo : TsendToMethod;
  orgiRecvFrom, newRecvFrom : TrecvFromMethod;


function callbackSend(s: DWord; Buf : Pointer; Len, Flags: Integer): Integer; stdcall;
begin
  Result := newSend(s, Buf, Len, Flags);
end;

function callbackSendTo(s: DWord; var Buf; len, flags: Integer; var addrto: DWord; tolen: Integer): Integer; stdcall;
begin
  Result := newSendTo(s, Buf, Len, Flags, addrto, tolen);
end;


function callbackRecv(s: DWord; Buf : Pointer; Len, Flags: Integer): Integer; stdcall;
begin
  Result := newRecv(s, Buf, Len, Flags);
end;

function callbackRecvFrom(s: DWord; var Buf; len, flags: Integer; var from: DWord; var fromlen: Integer): Integer; stdcall;
begin
    Result := newRecvFrom(s, Buf, Len, Flags, from, fromlen);
end;

procedure injectmain;
var
  h: integer;
begin
  @orgiSend := nil;
  @orgiSendto := nil;
  @orgiRecv := nil;
  @orgiRecvFrom := nil;

  h := GetModuleHandle('ws2_32.dll');
  if (h > 0) then
  begin
    @orgiSend := GetProcAddress(h,'send');
    if (@orgiSend <> nil) and
       not(HookCode(@orgiSend, @callbackSend, @newSend)) then
      MessageBox(0, 'orgiSend', 'Something went wrong!', 0);

    @orgiSendto := GetProcAddress(h,'sendto');
    if (@orgiSendto <> nil) and
       not(HookCode(@orgiSendto, @callbackSendto, @newSendTo)) then
      MessageBox(0, 'orgiSendto', 'Something went wrong!', 0);

    @orgiRecv := GetProcAddress(h,'recv');
    if (@orgiRecv <> nil) and
       not(HookCode(@orgiRecv, @callbackRecv, @newRecv)) then
      MessageBox(0, 'orgiRecv', 'Something went wrong!', 0);

    @orgiRecvFrom := GetProcAddress(h,'recvfrom');
    if (@orgiRecvFrom <> nil) and
       not(HookCode(@orgiRecvFrom, @callbackRecvFrom, @newRecvFrom)) then
      MessageBox(0, 'orgiRecvFrom', 'Something went wrong!', 0);
  end;
end;

procedure uninjectmain;
begin
  if (@orgiSend <> nil) and not(UnhookCode(@newSend)) then
      MessageBox(0, 'orgiSend', 'Something went wrong!', 0);
  if (@orgiSendto <> nil) and not(UnhookCode(@newSendTo)) then
      MessageBox(0, 'orgiSendto', 'Something went wrong!', 0);
  if (@orgiRecv <> nil) and not(UnhookCode(@newRecv)) then
      MessageBox(0, 'orgiRecv', 'Something went wrong!', 0);
  if (@orgiRecvFrom <> nil) and not(UnhookCode(@newRecvFrom)) then
      MessageBox(0, 'orgiRecvFrom', 'Something went wrong!', 0);
end;


procedure dllmain(dwReason: integer);
begin
    case dwreason of
      DLL_PROCESS_ATTACH:
        injectmain;
      DLL_PROCESS_DETACH:
        uninjectmain;
    end;
end;

begin
  DLLProc := @DLLMain;
  DLLMain(1);
end.
Also hier das ganze ohne IPC. Ich bekomme weder beim injecten noch beim uninjecten eine der Messageboxen gezeigt.

Das ist der Code meiner Hauptanwendung
Delphi-Quellcode:
unit main;

interface

uses
  Windows, Forms, Controls, StdCtrls, Classes;

type
  TForm1 = class(TForm)
    Button2: TButton;
    Button1: TButton;
    procedure Button1Click(Sender: TObject);
    procedure Button2Click(Sender: TObject);
  private
    { Private-Deklarationen }
  public
    { Public-Deklarationen }
  end;

const
  process = 'Garena.exe';

var
  Form1: TForm1;

implementation

{$R *.dfm}

uses
  uallHook, uallUtil, uallProcess;

procedure TForm1.Button1Click(Sender: TObject);
begin
  if (InjectLibrary(FindProcess(process), PChar(uallUtil.GetExeDirectory+'hook.dll')) ) then
    MessageBox(0, 'DLL Injected', 'Info', 0);
end;

procedure TForm1.Button2Click(Sender: TObject);
begin
  if (UnloadLibrary(FindProcess(process), PChar(uallUtil.GetExeDirectory+'hook.dll')) ) then
    MessageBox(0, 'DLL Uninjected', 'Info', 0);
end;

end.
Ich bekomme beide Nachrichten angezeigt. Also wenn das Programm startet injecte ich die DLL. Dann läuft alles wunderbar. Wenn ich nun die DLL uninjecte funktioniert alles noch so lang gut, bis bei dem Programm wieder ein Paket empfangen oder gesendet wird. Sprich wenn ich die DLL nicht uninjecte scheint alles ordnungsgemäß zu funktionieren, aber beim Uninjecten wird irgendwas falsch zurück gesetzt, wodurch beim Nächsten Eintreffen eines Pakets mir das Programm abstürzt.

Geändert von C0pa ( 7. Jun 2010 um 23:16 Uhr)
  Mit Zitat antworten Zitat
C0pa

Registriert seit: 25. Mai 2010
Ort: Laudenbach
23 Beiträge
 
#12

AW: Hooken der RecvFrom() Methode mittels uALLCollection

  Alt 8. Jun 2010, 16:15
*push*
  Mit Zitat antworten Zitat
CorVu5

Registriert seit: 31. Dez 2007
26 Beiträge
 
Delphi 7 Professional
 
#13

AW: Hooken der RecvFrom() Methode mittels uALLCollection

  Alt 8. Jun 2010, 17:01
Ich bin alles andere als ein Experte, aber wie wäre es, wenn du mal testweise "sharemem" als Unit hinzufügst?
Das Leben ist wie ein Strand...und dann stirbt man.
  Mit Zitat antworten Zitat
C0pa

Registriert seit: 25. Mai 2010
Ort: Laudenbach
23 Beiträge
 
#14

AW: Hooken der RecvFrom() Methode mittels uALLCollection

  Alt 8. Jun 2010, 17:33
Daran kann es meiner Meinung nach gar nicht leigen.
  Mit Zitat antworten Zitat
Benutzerbild von Zacherl
Zacherl

Registriert seit: 3. Sep 2004
4.629 Beiträge
 
Delphi 10.2 Tokyo Starter
 
#15

AW: Hooken der RecvFrom() Methode mittels uALLCollection

  Alt 8. Jun 2010, 22:33
Versuch testweise vielleicht mal eine andere Hooking Unit.
  Mit Zitat antworten Zitat
Benutzerbild von mleyen
mleyen

Registriert seit: 10. Aug 2007
609 Beiträge
 
FreePascal / Lazarus
 
#16

AW: Hooken der RecvFrom() Methode mittels uALLCollection

  Alt 9. Jun 2010, 07:50
Kannst du es evtl. an einem anderen Programm testen, ansatt direkt an einem Anticheatsystem?
  Mit Zitat antworten Zitat
C0pa

Registriert seit: 25. Mai 2010
Ort: Laudenbach
23 Beiträge
 
#17

AW: Hooken der RecvFrom() Methode mittels uALLCollection

  Alt 9. Jun 2010, 14:29
Aber beim AppSniffer gibt es doch auch keine Probleme.
  Mit Zitat antworten Zitat
Benutzerbild von Zacherl
Zacherl

Registriert seit: 3. Sep 2004
4.629 Beiträge
 
Delphi 10.2 Tokyo Starter
 
#18

AW: Hooken der RecvFrom() Methode mittels uALLCollection

  Alt 9. Jun 2010, 15:34
Aber beim AppSniffer gibt es doch auch keine Probleme.
Versuch testweise vielleicht mal eine andere Hooking Unit.
Was benutzt der AppSniffer denn zum hooken? Da du außer den Hook & Unhook Funktionen nichts anderes aufrufst, scheint es da wohl mit der uallHook Unit irgendwie Probleme geben. Das Teil hat früher bei mir immer gut funktioniert, aber probier einfach mal meine eigenen Hooking Funktionen aus:
Delphi-Quellcode:
function HookCodeInline(SourceFunction, CallbackFunction: Pointer;
  var OldFunction: Pointer): Boolean;
function UnhookCodeInline(var OldFunction: Pointer): Boolean;
function IsInlineHooked(Address: Pointer): Boolean;
Delphi-Quellcode:
type
  TJumpCode = packed record
    Push: Byte;
    Addr: Pointer;
    Ret: Byte;
  end;

function HookCodeInline(SourceFunction, CallbackFunction: Pointer;
  var OldFunction: Pointer): Boolean;
var
  HDE: hde32s;
  JumpCode: TJumpCode;
  dwAllocSize,
  dwOldProtect: DWord;
begin
  Result := false;
  if (not Assigned(SourceFunction)) or (not Assigned(CallbackFunction)) then
    Exit;
  // Anzahl der Bytes ermitteln
  dwAllocSize := 0;
  repeat
    HDE32.hde32_disasm(Pointer(Cardinal(SourceFunction) + dwAllocSize), HDE);
    Inc(dwAllocSize, HDE.len);
  until dwAllocSize >= SizeOf(TJumpCode);
  // JumpCode initialisieren
  JumpCode.Push := $68;
  JumpCode.Ret := $C3;
  // Code Protection ändern
  if not VirtualProtect(SourceFunction, dwAllocSize, PAGE_EXECUTE_READWRITE,
    dwOldProtect) then
    Exit;
  try
    // Speicher für die neue Funktion alloziieren
    OldFunction := VirtualAlloc(nil, dwAllocSize + SizeOf(TJumpCode),
      MEM_COMMIT or MEM_RESERVE, PAGE_EXECUTE_READWRITE);
    if not Assigned(OldFunction) then
      Exit;
    // Alte Opcodes sichern
    CopyMemory(OldFunction, SourceFunction, dwAllocSize);
    JumpCode.Addr := Pointer(DWord(SourceFunction) + dwAllocSize);
    CopyMemory(Pointer(DWord(OldFunction) + dwAllocSize), @JumpCode, SizeOf(
      TJumpCode));
    // Originalfunktion hooken
    JumpCode.Addr := CallbackFunction;
    CopyMemory(SourceFunction, @JumpCode, SizeOf(TJumpCode));
    Result := true;
  except
    // Speicher freigeben
    VirtualFree(OldFunction, dwAllocSize + SizeOf(TJumpCode), MEM_RELEASE);
  end;
  // Code Protection wiederherstellen
  VirtualProtect(SourceFunction, SizeOf(TJumpCode), dwOldProtect, dwOldProtect);
end;

function UnhookCodeInline(var OldFunction: Pointer): Boolean;
var
  HDE: hde32s;
  JumpCode: TJumpCode;
  dwAllocSize,
  dwOldProtect: DWord;
begin
  Result := false;
  if not Assigned(OldFunction) then
    Exit;
  // Anzahl der Bytes ermitteln
  dwAllocSize := 0;
  repeat
    HDE32.hde32_disasm(Pointer(Cardinal(OldFunction) + dwAllocSize), HDE);
    Inc(dwAllocSize, HDE.len);
  until dwAllocSize >= SizeOf(TJumpCode);
  // Originalfunktion ermitteln
  CopyMemory(@JumpCode, Pointer(DWord(OldFunction) + dwAllocSize), SizeOf(
    TJumpCode));
  if (JumpCode.Push <> $68) or (JumpCode.Ret <> $C3) then
    Exit;
  // Code Protection ändern
  if (not VirtualProtect(Pointer(DWord(JumpCode.Addr) - dwAllocSize), SizeOf(
    TJumpCode), PAGE_EXECUTE_READWRITE, dwOldProtect)) then
    Exit;
  // Opcode wiederherstellen
  CopyMemory(Pointer(DWord(JumpCode.Addr) - dwAllocSize), OldFunction, SizeOf(
    TJumpCode));
  // Code Protection wiederherstellen
  Result := VirtualProtect(Pointer(DWord(JumpCode.Addr) - dwAllocSize), SizeOf(
    TJumpCode), dwOldProtect, dwOldProtect);
  // Speicher freigeben
  VirtualFree(OldFunction, dwAllocSize + SizeOf(TJumpCode), MEM_RELEASE);
  OldFunction := nil;
end;

function IsInlineHooked(Address: Pointer): Boolean;
var
  JumpCode: TJumpCode;
begin
  CopyMemory(@JumpCode, Address, SizeOf(TJumpCode));
  Result := (JumpCode.Push = $68) or (JumpCode.Ret = $C3);
end;
Du brauchst außerdem noch die HDE32.pas und HDE32.obj, die du im Anhang findest.
Angehängte Dateien
Dateityp: rar HDE32.rar (2,0 KB, 31x aufgerufen)
  Mit Zitat antworten Zitat
C0pa

Registriert seit: 25. Mai 2010
Ort: Laudenbach
23 Beiträge
 
#19

AW: Hooken der RecvFrom() Methode mittels uALLCollection

  Alt 9. Jun 2010, 17:46
Vielen Dank
Der AppSniffer benutzt die madCollection. => kostenpflichtig

Heute komme ich wahrscheinlich nicht mehr dazu, aber morgen werde ich den Ansatz gleich durchprobieren.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 2 von 2     12   


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 04:34 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz