 |
 |
 |
 |
 |
|
Programmierung allgemein
Win32/Win64 API (native code)
Delphi CreateToolHelp32SnapShot hooks umgehen
Antwort
|
|
Registriert seit: 27. Okt 2004 292 Beiträge Delphi 7 Professional |
#41
Re: CreateToolHelp32SnapShot hooks umgehen
6. Jan 2006, 01:49
|
Zitat
|
|
Registriert seit: 27. Okt 2004 292 Beiträge Delphi 7 Professional |
#43
Re: CreateToolHelp32SnapShot hooks umgehen
6. Jan 2006, 13:33
|
|
Zitat
|
|
Registriert seit: 27. Okt 2004 292 Beiträge Delphi 7 Professional |
#44
Re: CreateToolHelp32SnapShot hooks umgehen
6. Jan 2006, 14:26
Schade. Sieht so aus als würde die Funktion der 2. Instanz der Kernel32.dll die Funktion der ersten Instanz von ntdll.dll aufrufen
 Ich habe die Funktion LoadLibraryA aus der kernel32.dll gewählt. Sie ruft _stricmp aus der ntdll.dll auf.
Delphi-Quellcode:
Zuerst Button3 um den Hook zu attachen. Dann Button1 um zu gucken ob korrekt gehookt wurde. Und zuletzt Button2 um zu gucken ob das zutrifft, was ich vorhin gesagt habe.
unit Unit1;
interface uses Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms, Dialogs, StdCtrls, uallProtect, uallHook; var old_stricmp, next_stricmp: function(const str1, str2: Pchar): Integer; [...type Form1 Kram] ntdll, kernel32: Integer; implementation {$R *.dfm} function new_stricmp(const str1, str2: Pchar): Integer; begin Messagebox(0,'Old Function called','Error',MB_ICONWARNING); result := old_stricmp(str1,str2); end; procedure TForm1.Button1Click(Sender: TObject); begin LoadLibraryA('twain32.dll'); end; procedure TForm1.Button2Click(Sender: TObject); var SafeLoadLibraryA: function(lpLibFileName: PAnsiChar): HMODULE; begin ntdll := ForceLoadLibraryNt('ntdll.dll'); kernel32 := ForceLoadLibraryNt('kernel32.dll'); If (ntdll = GetModulehandle('ntdll.dll')) or (kernel32 = GetModulehandle('kernel32.dll')) Then raise Exception.Create('Failed loading Libs'); @SafeLoadLibraryA := GetProcAddress(kernel32,'LoadLibraryA'); SafeLoadLibraryA('twain32.dll'); end; procedure TForm1.Button3Click(Sender: TObject); var h: Integer; begin h := GetModuleHandle('ntdll.dll'); if h > 0 then begin @old_stricmp := GetProcAddress(h,'_stricmp'); if @old_stricmp <> nil then uallHook.HookCode(@old_stricmp,@new_stricmp,@next_stricmp); end; end; end. Leider kommt bei beiden Buttons die MsgBox EDIT: Ok. Ich hab nochmal genauer geguckt. Ich kann GetProcAddress nicht auf die 2. geladene DLL anweden, warum auch immer
Delphi-Quellcode:
Ich bekomm die ShowMessage.
user32 := ForceLoadLibraryNt('user32.dll');
If (user32 = GetModulehandle('user32.dll')) Then raise Exception.Create('Failed loading Lib'); If Integer(GetProcAddress(user32,'MessageboxA')) <> 0 Then @SafeMessageBoxA := GetProcAddress(user32,'MessageBoxA') Else ShowMessage('go fuck urself'); EDIT2: Ok. Ich bin verzweifelt. BRECHIIIIIIIIIII Ne, jetz ernsthaft. Ich habe die Demo hsflibrary.dpr von brechis uallCollection ausprobiert und bekamm folgende Fehlermeldung bei den Forcelibrary-Funktionen: 
Zitat:
---------------------------
hsflibrary.exe - Illegales Verschieben einer System-DLL --------------------------- Die System-DLL "kernel32.dll" wurde im Speicher verschoben. Die Anwendung wird nicht einwandfrei ausgeführt. Die Datei wurde verschoben, da die DLL "" einen Adressbereich belegt, der für Windows-System-DLLs reserviert ist. Besorgen Sie sich vom DLL-Lieferanten eine neue DLL. --------------------------- OK --------------------------- (Ja ich habe ForceLoadLibraryNt benutzt) |
|
Zitat
|
|
Registriert seit: 27. Okt 2004 292 Beiträge Delphi 7 Professional |
#45
Re: CreateToolHelp32SnapShot hooks umgehen
7. Jan 2006, 17:10
Ok. Hat sich erledigt.
In der Callback Funktion next_stricmp aufrufen und nicht old_stricmp. Und nachdem ich die neue uallCollection vom CVS-Repository von Project Omorphia runtergeladen habe klappt auch ForceLoadLibraryNt. EDIT: Anscheinend hat brechi nicht den PEB modifiziert . Ich habs eben mit TerminateProcess aus der kernel32.dll,die NtTerminateProcess aus der ntdll.dll aufruft, ausprobiert.Nun hab ich ein bisschen gesucht und hab mir die PEB (Process Environment Block) Struktur angesehen.  http://undocumented.ntinternals.net/...ocess/PEB.htmlIch frage mich was ich da nun konkret manipulieren müsste, damit es klappt? Vlt.das "KernelCallbackTable"? Sonst seh ich da nichts interessantes :S |
|
Zitat
|
|
Registriert seit: 30. Jan 2004 823 Beiträge |
#46
Re: CreateToolHelp32SnapShot hooks umgehen
8. Jan 2006, 18:56
|
|
Zitat
|
|
Registriert seit: 27. Okt 2004 292 Beiträge Delphi 7 Professional |
#47
Re: CreateToolHelp32SnapShot hooks umgehen
8. Jan 2006, 19:53
Aso, ne ich dachte nur PEB weil Olli das gesagt hatte:
Zitat:
Das dürfte auf die Methode ankommen. Wenn brechi den PEB modifiziert, sollten die neuen (sauberen) Kopien benutzt werden.
Das was du sagst habe ich schon befürchtet. Ich müsste also alle Imports der zuerst geforcten DLL umbiegen auf die anderen geforcten DLLs. Und von diesen wiederrum auch usw. (Ich weiss gar nicht wie tief das geht). Ich müsste mit ForceLoadLibrary alle DLLs der WinAPI laden, die vom Programm benutzt wird um 100% sicher zu sein, dass ich jedem Hook entwische. :F Ich werde mich einfach mal dran machen in der Hoffnung, dass du es nicht gemacht hast, weil du es nicht gebraucht hast und nicht weil es viel zu aufwendig ist. :F Lebensaufgabe? Sag mir einfach nur ob es im Bereich des möglichen liegt.  Vielen Dank auf jedenfall für die Antwort und die uallCollection überhaupt *g*. Macht viel Spass damit rumzuspielen. |
|
Zitat
|
|
Registriert seit: 30. Jan 2004 823 Beiträge |
#48
Re: CreateToolHelp32SnapShot hooks umgehen
8. Jan 2006, 20:14
Naja eigentlich braucht man ja nur die ntdll. Den Rest baut man sich dann selbst nach
Oder du musst LoadLibraryX benutzen, und dann in der auch wieder LoadLibraryX und GetProcAddressX dann sollte der selbst die ganzen dlls laden. Ma schaun ob ich das nacher mal als Beispiel machen kann. |
|
Zitat
|
|
Registriert seit: 27. Okt 2004 292 Beiträge Delphi 7 Professional |
#49
Re: CreateToolHelp32SnapShot hooks umgehen
8. Jan 2006, 20:45
Zitat:
Ma schaun ob ich das nacher mal als Beispiel machen kann.
  Lass dir ruhig Zeit, morgen ist eh erstmal Schule  Und kurz nach den Ferien ist da mit Hausaufgaben nicht zu spassen.
|
|
Zitat
|
|
Registriert seit: 27. Okt 2004 292 Beiträge Delphi 7 Professional |
#50
Re: CreateToolHelp32SnapShot hooks umgehen
20. Feb 2006, 17:31
Ich will wirklich nicht drängen oder sonst irgendetwas. Und wenn du viel zu tun hast ,brechi, dann ist es auch egak.
Aber ich wollt hiermit nur zeigen, dass ich immernoch neugierig auf dein Beispiel bin. Bitte nimm es mir nicht übel.
|
|
Zitat
|
ForumregelnEs ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus. Trackbacks are an
Pingbacks are an
Refbacks are aus
|
|
Linear-Darstellung
