 |
 |
 |
 |
 |
|
Programmierung allgemein
Win32/Win64 API (native code)
Delphi CreateToolHelp32SnapShot hooks umgehen
Antwort
|
|
Registriert seit: 30. Jan 2004 823 Beiträge |
#31
Re: CreateToolHelp32SnapShot hooks umgehen
8. Aug 2005, 19:20
|
Zitat
|
|
(Gast)
n/a Beiträge |
#32
Re: CreateToolHelp32SnapShot hooks umgehen
8. Aug 2005, 21:46
Zitat von brechi:
aber das ist nur meien persönliche meinung
|
|
Zitat
|
|
Registriert seit: 28. Okt 2004 Ort: Wien 271 Beiträge |
#33
Re: CreateToolHelp32SnapShot hooks umgehen
30. Aug 2005, 11:21
Ich muß das thema nochmal aufwärmen
Also die native apis scheinen dann nicht ganz das richtige zu sein. Wenn nämlich ein hook auf QueryProcessDebugInformation gemacht wird, dann werden wohl auch die native apis gehookt. Was jetzt brechis methode betrifft - leider funktioniert die so nicht wäre aber sehr interessant das hinzubekommen. Als ersatzlösung wäre es vermutlich möglich mir ntdll.dll aus dem system ordner in mein verzeichnis zu kopieren, die .dll umzubenennen ( zufallszahl oder sowas ) und dann einfach mit loadlibrary zu benutzen. Wenn ich das jedesmal nach dem programmstart mache, dann wirds mit einem hook auch recht schwer. Fals ich schon wieder unsinn rede, dann bitte mitteilen Danke Arnulf |
|
Zitat
|
|
(Gast)
n/a Beiträge |
#34
Re: CreateToolHelp32SnapShot hooks umgehen
30. Aug 2005, 11:30
Zitat von NicoDE:
Und meine ist, dass Handles untypisierte Zeiger sind, und selbige in der Delphi RTL 'falsch' deklariert sind...
 ... Indeces in eine Handletabelle, ja, aber Zeiger ...
Zitat von Arnulf:
Also die native apis scheinen dann nicht ganz das richtige zu sein.
Wenn nämlich ein hook auf QueryProcessDebugInformation gemacht wird, dann werden wohl auch die native apis gehookt.  Ich muß das thema nochmal aufwärmen Als ersatzlösung wäre es vermutlich möglich mir ntdll.dll aus dem system ordner in mein verzeichnis zu kopieren, die .dll umzubenennen ( zufallszahl oder sowas ) und dann einfach mit loadlibrary zu benutzen.[/quote]Ich bezweifele, daß das geht, da eigentlich diese DLLs nicht dafür ausgelegt sind reloziert zu werden, aber vielleicht hängt das auch davon ab, welche Funktionen man aufruft
|
|
Zitat
|
|
Registriert seit: 28. Okt 2004 Ort: Wien 271 Beiträge |
#35
Re: CreateToolHelp32SnapShot hooks umgehen
30. Aug 2005, 12:03
Zitat:
RtlQueryProcessDebugInformation ist eine Native API
Damit wäre es doch logisch RtlQueryProcessDebugInformation zu hooken wenn man .dlls oder was auch immer verstecken will. Oder irre ich mich da? Und das ist doch das eigentliche ziel solche hooks zu verhindern. Ich hab ja bisher noch nichtmal solche einschlägigen programme gefunden die .dlls verstecken - man hat mir nur gesagt, daß man die cheat checks damit umgehen kann und das klingt auch logisch.
Zitat:
da eigentlich diese DLLs nicht dafür ausgelegt sind reloziert zu werden
Die frage ist aber warum nicht? - ist das in der .dll festgeschrieben oder weiß das das betriebssystem? wenn ich also den namen der ntdll.dll ändere wäre es doch durchaus möglich, daß es funktioniert. Vermutlich hast du recht und es geht mit bestimmten funktionen. Aber das war auch nur meine notlösung. Arnulf |
|
Zitat
|
|
(Gast)
n/a Beiträge |
#36
Re: CreateToolHelp32SnapShot hooks umgehen
30. Aug 2005, 13:04
Zitat von Arnulf:
Zitat:
RtlQueryProcessDebugInformation ist eine Native API
Damit wäre es doch logisch RtlQueryProcessDebugInformation zu hooken wenn man .dlls oder was auch immer verstecken will.
Zitat von Arnulf:
Zitat:
da eigentlich diese DLLs nicht dafür ausgelegt sind reloziert zu werden
Die frage ist aber warum nicht? - ist das in der .dll festgeschrieben oder weiß das das betriebssystem? 2. sind die DLLs nicht darauf ausgelegt, auch wenn sie meist dennoch eine Relokationstabelle enthalten.
Zitat von Arnulf:
wenn ich also den namen der ntdll.dll ändere wäre es doch durchaus möglich, daß es funktioniert.
|
|
Zitat
|
|
Registriert seit: 28. Okt 2004 Ort: Wien 271 Beiträge |
#37
Re: CreateToolHelp32SnapShot hooks umgehen
30. Aug 2005, 13:52
Zitat:
Durchaus, aber es ist nicht die einzige Native API, die in der Toolhelp API benutzt wird.
Trotzdem kann ich einfach nicht erkennen wie ich damit dann hooks umgehen können soll. Vielleicht versteh ichs ja auch noch nicht so richtig.
Zitat:
Ja, aber eben nur durch relozieren, weil die NTDLL bereits in jeden Prozess eingeblendet ist.
.Es wird nie ein ende nehmen und irgendwann kommt dann .net wo soll das nur hinführen.... Arnulf |
|
Zitat
|
|
Registriert seit: 30. Jan 2004 823 Beiträge |
#38
Re: CreateToolHelp32SnapShot hooks umgehen
30. Aug 2005, 15:11
das blöde daran ist das bei RtlQueryProcessDebugInformation die ntdll IPC benutzt um die daten von dem prozess zu bekommen
es wird ein Thread in dem ZiuelProcess (von dem wo die daten ausgelesen werden sollen) erstellt, lödt man die dll ein 2. mal übergibt aber die ntdll eine falsche startadresse (und zwar wo sie neu geladen wurde) diese gibt es im zielprzess aber nicht und wird der code zum auslesen nie aufgerufen... naja könnt noch mehr erzählen, aber hier mal nen tricky code mit dem das funzt
Delphi-Quellcode:
der code is ausm swissdelphicenter und von NicoDe
unit Unit1;
interface uses Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms, Dialogs, StdCtrls, uallProtect, uallHook; type TForm1 = class(TForm) Button1: TButton; Memo1: TMemo; Edit1: TEdit; procedure Button1Click(Sender: TObject); private { Private-Deklarationen } public { Public-Deklarationen } end; var Form1: TForm1; implementation {$R *.dfm} type PDebugModule = ^TDebugModule; TDebugModule = packed record Reserved: array [0..1] of Cardinal; Base: Cardinal; Size: Cardinal; Flags: Cardinal; Index: Word; Unknown: Word; LoadCount: Word; ModuleNameOffset: Word; ImageName: array [0..$FF] of Char; end; type PDebugModuleInformation = ^TDebugModuleInformation; TDebugModuleInformation = record Count: Cardinal; Modules: array [0..0] of TDebugModule; end; PDebugBuffer = ^TDebugBuffer; TDebugBuffer = record SectionHandle: THandle; SectionBase: Pointer; RemoteSectionBase: Pointer; SectionBaseDelta: Cardinal; EventPairHandle: THandle; Unknown: array [0..1] of Cardinal; RemoteThreadHandle: THandle; InfoClassMask: Cardinal; SizeOfInfo: Cardinal; AllocatedSize: Cardinal; SectionSize: Cardinal; ModuleInformation: PDebugModuleInformation; BackTraceInformation: Pointer; HeapInformation: Pointer; LockInformation: Pointer; Reserved: array [0..7] of Pointer; end; const PDI_MODULES = $01; ntdll = 'ntdll.dll'; var HNtDll: HMODULE; HNtDll2: HMODULE; type TFNRtlCreateQueryDebugBuffer = function(Size: Cardinal; EventPair: Boolean): PDebugBuffer; stdcall; TFNRtlQueryProcessDebugInformation = function(ProcessId, DebugInfoClassMask: Cardinal; var DebugBuffer: TDebugBuffer): Integer; stdcall; TFNRtlDestroyQueryDebugBuffer = function(DebugBuffer: PDebugBuffer): Integer; stdcall; TFNRtlCreateUserThread = procedure(ProcessHandle: THANDLE; SecurityDescriptor: PSECURITY_DESCRIPTOR; CreateSuspended: Boolean; StackZeroBits: ULONG; StackReserved: PULONG; StackCommit: PULONG; StartAddress: Pointer; StartParameter: Pointer; ThreadHandle: PHANDLE; ClientID: Pointer); stdcall; var RtlCreateQueryDebugBuffer: TFNRtlCreateQueryDebugBuffer; RtlQueryProcessDebugInformation: TFNRtlQueryProcessDebugInformation; RtlDestroyQueryDebugBuffer: TFNRtlDestroyQueryDebugBuffer; RtlCreateUserThread: TFNRtlCreateUserThread; nextRtlCreateUserThread: TFNRtlCreateUserThread; procedure myRtlCreateUserThread(ProcessHandle: THANDLE; SecurityDescriptor: PSECURITY_DESCRIPTOR; CreateSuspended: Boolean; StackZeroBits: ULONG; StackReserved: PULONG; StackCommit: PULONG; StartAddress: Pointer; StartParameter: Pointer; ThreadHandle: PHANDLE; ClientID: Pointer); stdcall; begin StartAddress := Pointer(dword(StartAddress)-dword(HNtDll2)+dword(HNtDll)); nextRtlCreateUSerThread(ProcessHandle, SecurityDescriptor, CreateSuspended,StackZeroBits, StackReserved, StackCommit, StartAddress, StartParameter, ThreadHandle ,ClientID); end; function LoadRtlQueryDebug: LongBool; begin if HNtDll = 0 then begin HNtDll := LoadLibrary(ntdll); HNtDll2 := uallProtect.ForceLoadLibraryNt(ntdll); if HNtDll <> 0 then begin RtlCreateQueryDebugBuffer := GetProcAddress(HNtDll2, 'RtlCreateQueryDebugBuffer'); RtlQueryProcessDebugInformation := GetProcAddress(HNtDll2, 'RtlQueryProcessDebugInformation'); RtlDestroyQueryDebugBuffer := GetProcAddress(HNtDll2, 'RtlDestroyQueryDebugBuffer'); RtlCreateUserThread := GetProcAddress(HNtDll2,'RtlCreateUserThread'); uallHook.HookCode(@RtlCreateUserThread,@myRtlCreateUserThread, @nextRtlCreateUserThread); end; end; Result := Assigned(RtlCreateQueryDebugBuffer) and Assigned(RtlQueryProcessDebugInformation) and Assigned(RtlQueryProcessDebugInformation); end; procedure TForm1.Button1Click(Sender: TObject); var DbgBuffer: PDebugBuffer; Loop: Integer; begin if not LoadRtlQueryDebug then Exit; Memo1.Clear; Memo1.Lines.BeginUpdate; DbgBuffer := RtlCreateQueryDebugBuffer(0, False); if Assigned(DbgBuffer) then try if RtlQueryProcessDebugInformation(StrToIntDef(Edit1.Text, GetCurrentProcessId), PDI_MODULES, DbgBuffer^) >= 0 then begin for Loop := 0 to DbgBuffer.ModuleInformation.Count - 1 do with DbgBuffer.ModuleInformation.Modules[Loop], Memo1.Lines do begin Add('ImageName: ' + ImageName); Add(' Reserved0: ' + IntToHex(Reserved[0], 8)); Add(' Reserved1: ' + IntToHex(Reserved[1], 8)); Add(' Base: ' + IntToHex(Base, 8)); Add(' Size: ' + IntToHex(Size, 8)); Add(' Flags: ' + IntToHex(Flags, 8)); Add(' Index: ' + IntToHex(Index, 4)); Add(' Unknown: ' + IntToHex(Unknown, 4)); Add(' LoadCount: ' + IntToHex(LoadCount, 4)); Add(' ModuleNameOffset: ' + IntToHex(ModuleNameOffset, 4)); end; end; finally RtlDestroyQueryDebugBuffer(DbgBuffer); end; Memo1.Lines.EndUpdate; end; end. |
|
Zitat
|
ForumregelnEs ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus. Trackbacks are an
Pingbacks are an
Refbacks are aus
|
|
Linear-Darstellung
