Hooken der RecvFrom() Methode mittels uALLCollection

**C0pa**

Ich sitze jetzt schon mehr als 20h an einem Funktionshook.

Delphi-Quellcode:

			library hook;

uses

  SysUtils,

  Classes,

  Windows,

  uallHook,

  WinSock,

  Messages,

  Variants,

  WinSock2 in 'WinSock2.pas',

  IPC in 'IPC.pas';

{$R *.res}

type

  TsendMethod = function(s: TSocket; Buf : Pointer; Len, Flags: Integer): Integer; stdcall;

  TsendToMethod = function(s: TSocket; var Buf; len, flags: Integer; var addrto: TSockAddr;  tolen: Integer): Integer; stdcall;

  TrecvMethod = function(s: TSocket; Buf : Pointer; Len, Flags: Integer): Integer; stdcall;

  TrecvFromMethod = function(s: TSocket; var Buf; len, flags: Integer; var from: TSockAddr; var fromlen: Integer): Integer; stdcall;

var

  orgiSend      : TsendMethod;

  orgiRecv      : TrecvMethod;

  orgiSendto    : TsendToMethod;

  orgiRecvFrom  : TrecvFromMethod;

procedure informMaster(func:Integer);

var

  data: TIPCData;

begin

  data.s := '';

  data.func := func;

  IPC.sendData(data);

end;

function callbackSend(s: TSocket; Buf : Pointer; Len, Flags: Integer): Integer; stdcall;

begin

  Result := orgiSend(s, Buf, Len, Flags);

  informMaster(1);

end;

function callbackSendTo(s: TSocket; var Buf; len, flags: Integer; var addrto: TSockAddr;  tolen: Integer): Integer; stdcall;  

begin

  Result := orgiSendTo(s, Buf, Len, Flags, addrto, tolen);   

  informMaster(2);

end;

function callbackRecv(s: TSocket; Buf : Pointer; Len, Flags: Integer): Integer; stdcall;

begin

  Result := orgiRecv(s, Buf, Len, Flags); 

  informMaster(3);

end;

function callbackRecvFrom(s: TSocket; var Buf; len, flags: Integer; var from: TSockAddr; var fromlen: Integer): Integer; stdcall;

begin

  Result := orgiRecvFrom(s, Buf, Len, Flags, from, fromlen);

  informMaster(4);

end;

procedure injectmain;

begin

  //MessageBox(0, 'Its me', '', 0);     

  if not(HookApiIAT('ws2_32.dll', 'recvfrom',@callbackRecvFrom, @orgiRecvFrom)) then

  begin

    MessageBox(0, 'RecvFrom', '', 0);

  end;

  if not(HookApiIAT('ws2_32.dll', 'send',@callbackSend, @orgiSend)) then

  begin

    MessageBox(0, 'Send', '', 0);

  end;

  if not(HookApiIAT('ws2_32.dll', 'sendto',@callbackSendTo, @orgiSendTo)) then

  begin

    MessageBox(0, 'SendTo', '', 0);

  end;

  if not(HookApiIAT('ws2_32.dll', 'recv',@callbackRecv, @orgiRecv)) then

  begin

    MessageBox(0, 'Recv', '', 0);

  end;

end;

procedure uninjectmain;

begin

  //MessageBox(0, 'Bye!', '', 0);

  uallHook.UnHookApiIAT(@callbackSend, @orgiSend);

  uallHook.UnHookApiIAT(@callbackSendTo, @orgiSendTo);

  uallHook.UnHookApiIAT(@callbackRecv, @orgiRecv);

  uallHook.UnHookApiIAT(@callbackRecvfrom, @orgiRecvFrom);

end;

procedure dllmain(dwReason: integer);

begin

  case dwreason of

    DLL_PROCESS_ATTACH:

      injectmain;

    DLL_PROCESS_DETACH:

      uninjectmain;

  end;

end;

begin

  DLLProc := @DLLMain;

  DLLMain(1);

end.

Das ist die DLL. Also ich habe mit dem AppSniffer herrausgefunden, dass alle obenstehenden Funktionen genutzt werden, diese zeigt auch sämtliche nutzung mit Parametern etc an. Nun habe ich gedacht "hookste halt mal". Ein Mann ein Wort. Send(), SendTo() und Recv() werden erfolgreich gehookt. Das entnehme ich daraus, das bei meiner Hauptanwendung dieses "inform" ankommt. Aber recvFrom zickt total rum. Ich weis dass es definitiv ausgeführt wird, aber warum bekommt meine Hauptanwendung dies nicht mit?!

Grüße

**Zacherl**

Versuchs mal mit inline Hooks. Die IAT Hooks arbeiten bei solchen Dingen öfters mal nicht zuverlässig.

**C0pa**

Damit gehts

- aber auch nur teilweise.

zusammenfalten · markieren

Delphi-Quellcode:

			library hook;

uses

  SysUtils,

  Classes,

  Windows,

  uallHook,

  WinSock,

  Messages,

  Variants,

  WinSock2 in 'WinSock2.pas',

  IPC in 'IPC.pas';

{$R *.res}

type

  TsendMethod = function(s: TSocket; Buf : Pointer; Len, Flags: Integer): Integer; stdcall;

  TsendToMethod = function(s: TSocket; var Buf; len, flags: Integer; var addrto: TSockAddr;  tolen: Integer): Integer; stdcall;

  TrecvMethod = function(s: TSocket; Buf : Pointer; Len, Flags: Integer): Integer; stdcall;

  TrecvFromMethod = function(s: TSocket; var Buf; len, flags: Integer; var from: TSockAddr; var fromlen: Integer): Integer; stdcall;

var

  orgiSend, newSend          : TsendMethod;

  orgiRecv, newRecv          : TrecvMethod;

  orgiSendto, newSendTo      : TsendToMethod;

  orgiRecvFrom, newRecvFrom  : TrecvFromMethod;

procedure informMaster(func:Integer);

var

  data: TIPCData;

begin

  data.s := '';

  data.func := func;

  IPC.sendData(data);

end;

function callbackSend(s: TSocket; Buf : Pointer; Len, Flags: Integer): Integer; stdcall;

begin

  Result := newSend(s, Buf, Len, Flags);

  informMaster(1);

end;

function callbackSendTo(s: TSocket; var Buf; len, flags: Integer; var addrto: TSockAddr;  tolen: Integer): Integer; stdcall;  

begin

  Result := newSendTo(s, Buf, Len, Flags, addrto, tolen);

  informMaster(2);

end;

function callbackRecv(s: TSocket; Buf : Pointer; Len, Flags: Integer): Integer; stdcall;

begin

  Result := newRecv(s, Buf, Len, Flags);

  informMaster(3);

end;

function callbackRecvFrom(s: TSocket; var Buf; len, flags: Integer; var from: TSockAddr; var fromlen: Integer): Integer; stdcall;

begin

  Result := newRecvFrom(s, Buf, Len, Flags, from, fromlen);

  informMaster(4);

end;

procedure injectmain;

begin

  //MessageBox(0, 'Its me', '', 0);

  @orgiSend := GetProcAddress(LoadLibrary('ws2_32.dll'),'send');

  if not(HookCode(@orgiSend,@callbackSend,@newSend)) then

    MessageBox(0, 'Send()', 'Something went wrong!', 0);

  @orgiSendto := GetProcAddress(LoadLibrary('ws2_32.dll'),'sendto');

  if not(HookCode(@orgiSendto,@callbackSendto,@newSendTo)) then

    MessageBox(0, 'SendTo()', 'Something went wrong!', 0);

  @orgiRecv := GetProcAddress(LoadLibrary('ws2_32.dll'),'recv');

  if not(HookCode(@orgiRecv,@callbackRecv,@newRecv)) then

    MessageBox(0, 'Recv()', 'Something went wrong!', 0);

  @orgiRecvFrom := GetProcAddress(LoadLibrary('ws2_32.dll'),'recvfrom');

  if not(HookCode(@orgiRecvFrom,@callbackRecvFrom,@newRecvFrom)) then

    MessageBox(0, 'RecvFrom()', 'Something went wrong!', 0);

end;

procedure uninjectmain;

begin

  //MessageBox(0, 'Bye!', '', 0);

  UnhookCode(@newSend);

  UnhookCode(@newSendTo);

  UnhookCode(@newRecv);

  UnhookCode(@newRecvFrom);

end;

procedure dllmain(dwReason: integer);

begin

  case dwreason of

    DLL_PROCESS_ATTACH:

      injectmain;

    DLL_PROCESS_DETACH:

      uninjectmain;

  end;

end;

begin

  DLLProc := @DLLMain;

  DLLMain(1);

end.

Jetzt wird mir zwar angezeig, dass alles ausgeführt wurde, aber wenn ich die DLL Uninjecte stürtzt das Programm ab indem sich die DLL befand.

**SirThornberry**

Kannst du deinem Beitrag bitte einen aussagekräftigen Titel geben? "Völlige Verzweiflung" sagt rein gar nichts über dein problem aus und "RecvFrom" sagt ebenso wenig über das eigentliche Problem aus. Mit einem aussagekräftigerem Titel stehen die Chancen bedeutend besser das jemand mit der Lösung auf dein Problem aufmerksam wird und Leute die später einmal das gleiche Problem haben finden über die Suchfunktion dann auch schneller dieses Thema und somit hoffentlich auch die Lösung.

**C0pa**

Aber du willst nicht helfen?

**brechi**

Bei welchem Aufruf stürzt denn das Programm ab? Du kannst ja mal MessageBoxes zwischen den einzelnen Unhooks machen.

**Win32.API**

Ich werfe mal FlushInstructionCache in den Raum. Es könnte auch sein, dass Du den Code änderst und das Programm den halbfertigen Code ausführt.

**C0pa**

Teilweise ist es sogar so, dass ich die Funktionen hooke, dann zigg Pakete mitschneide und bei einem Paket X stürtzt die gehookte Anwendung ab. Der Fehler ist nicht reproduzierbar, da er einfach irgendwann auftritt, sicherlich gibt es dafür irgendeinen Grund - aber ich habe ihn noch nicht gefunden.

**brechi**

Naja, ist das der komplette Code?
Und ist deine IPC auch ThreadSafe?

**C0pa**

Die Probleme treten auch dann auf, wenn ich keine Nachrichten an meine Hauptanwendung schicke. Und ja, es ist der ganze Code, nur der IPC teil wurde von mir in einer Unit ausgelagert. Den hänge ich morgen Nachmittag noch an.

Hooken der RecvFrom() Methode mittels uALLCollection

Hooken der RecvFrom() Methode mittels uALLCollection

Re: Völlige Verzweiflung: RecvFrom

Re: Völlige Verzweiflung: RecvFrom

Re: Völlige Verzweiflung: RecvFrom

Re: Völlige Verzweiflung: RecvFrom

AW: Hooken der RecvFrom() Methode mittels uALLCollection

AW: Hooken der RecvFrom() Methode mittels uALLCollection

AW: Hooken der RecvFrom() Methode mittels uALLCollection

AW: Hooken der RecvFrom() Methode mittels uALLCollection

AW: Hooken der RecvFrom() Methode mittels uALLCollection

Forumregeln

Zacherl Registriert seit: 3. Sep 2004 4.629 Beiträge Delphi 10.2 Tokyo Starter	#2 Re: Völlige Verzweiflung: RecvFrom 3. Jun 2010, 17:44 Versuchs mal mit inline Hooks. Die IAT Hooks arbeiten bei solchen Dingen öfters mal nicht zuverlässig.
	Zitat

C0pa Registriert seit: 25. Mai 2010 Ort: Laudenbach 23 Beiträge	#5 Re: Völlige Verzweiflung: RecvFrom 3. Jun 2010, 19:30 Aber du willst nicht helfen?
	Zitat

brechi Registriert seit: 30. Jan 2004 823 Beiträge	#6 AW: Hooken der RecvFrom() Methode mittels uALLCollection 6. Jun 2010, 17:01 Bei welchem Aufruf stürzt denn das Programm ab? Du kannst ja mal MessageBoxes zwischen den einzelnen Unhooks machen.
	Zitat

Win32.API Registriert seit: 23. Mai 2005 312 Beiträge	#7 AW: Hooken der RecvFrom() Methode mittels uALLCollection 7. Jun 2010, 11:04 Ich werfe mal FlushInstructionCache in den Raum. Es könnte auch sein, dass Du den Code änderst und das Programm den halbfertigen Code ausführt.
	Zitat

C0pa Registriert seit: 25. Mai 2010 Ort: Laudenbach 23 Beiträge	#8 AW: Hooken der RecvFrom() Methode mittels uALLCollection 7. Jun 2010, 16:20 Teilweise ist es sogar so, dass ich die Funktionen hooke, dann zigg Pakete mitschneide und bei einem Paket X stürtzt die gehookte Anwendung ab. Der Fehler ist nicht reproduzierbar, da er einfach irgendwann auftritt, sicherlich gibt es dafür irgendeinen Grund - aber ich habe ihn noch nicht gefunden.
	Zitat

brechi Registriert seit: 30. Jan 2004 823 Beiträge	#9 AW: Hooken der RecvFrom() Methode mittels uALLCollection 7. Jun 2010, 19:39 Naja, ist das der komplette Code? Und ist deine IPC auch ThreadSafe?
	Zitat

C0pa Registriert seit: 25. Mai 2010 Ort: Laudenbach 23 Beiträge	#10 AW: Hooken der RecvFrom() Methode mittels uALLCollection 7. Jun 2010, 22:35 Die Probleme treten auch dann auf, wenn ich keine Nachrichten an meine Hauptanwendung schicke. Und ja, es ist der ganze Code, nur der IPC teil wurde von mir in einer Unit ausgelagert. Den hänge ich morgen Nachmittag noch an.
	Zitat