Hi zusammen,

ich habe Probehalber mal versucht, eine API mit der uallCollection zu hooken.

mein Code dazu sieht so aus

Hauptprogramm:
DLL :
Das Ganze kompiliert ohne Murren, nur passiert nichts. Beim Debuggen hab ich auch gesehen warum.

in diesem Teil aus der Funktion InjectLibrary...
... liefert OpenProcess() eine 0 zurück und folgedem wird das EXIT ausgeführt.
Die Frage ist nun, warum habe ich nicht die nötigen Zugriffsrechte und wovon hängen diese ab? (Bin in der Gruppe Administratoren)

PS : Die Funktion TerminateProcess habe ich nur zu Testzwecken genommen, weil die so wenig Parameter hatte und man den Erfolg leicht nachvollziehen kann.

Nun, es könnte natürlich sein, dass du auf bestimmte Prozesse nicht die vollen Zugriffsrechte bekommst (bei mir z.B. ZoneAlarm), oder dass dieser Zugriff durch andere Programme geblockt wird (bei mir z.B. wieder ZoneAlarm).

Es könnte natürlich auch noch sein, dass du ne veraltete Version der uallCollection hast:
In meiner steht nämlich was anderes:
Wobei ich das gerade nicht ganz nachvollziehen kann ... (sagen wir so, es erscheint mir falsch zu sein ... )

Alternativ könntest du dich an den Autor Brechi selbst wenden, oder eine andere Hookinglibrary ausprobieren, z.B. MadCodeHook (ist aber leider nicht opensource).
Oder du wartest darauf, dass Brechi mal wieder selbst hier vorbeischaut ... ^^

ciao,
Philipp

ok hab die "neue" Version runtergeladen.

jetzt gibt OpenProcess immer noch 0 zurück, das Programm läuft wegen der geänderten Abfrage ja weiter.

Jetzt gibt

pLLA := GetProcAddress(GetModuleHandleA('kernel32.dll'),'LoadLibraryA'); aber auch nil zurück, was dazu führt, dass das ganze bei

if (pLLA <> nil) and (pTargetMemory <> nil) and (pLibraryName <> nil) then rausspringt und nichts tut

Hi Stefan.
Ich hatte deine PN bekommen, hatte aber nur kurz reingeschaut. Da war jedenfalls ein Bug im Disassembler. (Und ist auch noch in der Version die ich geupped habe).

Zu dem OpenProcess. Das ist nur dazu da, damit ich mit einem bereits geöffneten Processhandle weiterarbeiten kann. Deshalb versuche ich die ID die übergeben wurde nochmal zu öffnen, failed es, so muss es bereis ein Handle sein.
Ist also dafür da, damit ich support für ProcessID und ProcessHandle habe. Die alte version hatte noch keine GetProcessID funktion, die musste ich erst für WinNT < XP und Win9x nachbauen. ALso selbs wenn OpenProcess failed, heißt es nicht das es nicht funktionieren kann, dann wird einfach von einem ProcessHandle ausgegangen.

Sicher, dass das LoadLibrary / GetProcAddress failed? Könnte ja auch sein, dass du keinen Speicher bekommen hast. Anstatt Globales InjectLibrary zu testen, versuch es besser erst mal mit einem Prozess. Um es in die Systemprozesse zu laden brauchst du weiterhin die Debugrechte (uallKernel.SetDebugPrivilege). Aber das ist dann wieder alles kritisch und wenn du Windows crashed, bitte nicht bei mir beschweren. Also kann es sein, dass bei manchen Anwendungen eben InjectLibrary failed.

Versuchs mal mit NotePad für einen dll load test (MessageBoxA bei dll load). Klappt das versuch mal einen Gloablen Hook (MessageBoxA mit ausgabe Paramstr(0)) damit du weiß ob es funktioniert hat. Sollte das Auch geklappt haben, kannste mal vorher das Debug Privilege sezten und mal die dll in alle Prozesse laden.

ups sorry, mir ist da ein Fehler unterlaufen beim C&P

der Fehler tritt auf beim

pTargetMemory := VirtualAllocExX(dwProcessID,nil,dwMemSize, MEM_COMMIT or MEM_RESERVE,PAGE_EXECUTE_READWRITE); (Rückgabewert ist nil)

und nicht wie oben geschrieben beim GetProcAddress

Welchen Wert hat dwProcessID? Welchen dwMemSize? Handelt es sich um ein Win9x oder WinNT system?

Abend mitnand!

Auch wenn das Thema über ein Jahr alt ist muss ich hier jetzt posten, denn:

1. ich habe genau das selbe Problem
2. steht hier keine Lösung

Also mach ich mal dort weiter wo StefanG aufgehört hat und beantworte deine Fragen @brechi:

1. System: WinNT (XP SP2, falls das von belang sein sollte)
2. dwProcessID = 10715264 (auf jeden Fall <> 0... und die Betonung liegt auf ID)
3. dwMemSize = 74

GetLastError liefert zurück, dass das Handle ungültig ist. Deshalb denke ich, dass der Fehler in/bei OpenProcess liegt, da dieses immer "0" zurück liefert.

Ich vermute, dass es mit dem DebugPrivilege zusammenhängt. Das erhält man über SetDebugPrivilege(SE_PRIVILEGE_ENABLED), oder? Wenn ja, ändert das auch nichts... weder unter meinem beschränktem Konto, noch unter meinem Admin-Konto.

Ich hoffe du, brechi, oder jemand anderst kann mir helfen, da ich gerne diese HookUnits verwenden möchte, da afxCodeHook scheinbar nicht mehr existiert und madCodeHook leider nicht OS ist und außerdem ne Fremd-DLL verwendet.

Und damit sich keiner beschwert... hier noch ein bisschen Code:

Da die HookDLL selbst bisher ja noch nicht ausgeführt wird, poste ich nur mal den Code der ausführenden Anwendung...

PS: Nicht wundern, wenn ich die nächste Woche nicht antworte... ich bin auf Studienfahrt in Schweden, wo wohl mein Internetzugang wohl gegen 0 tendiert
PPS: Falls sich jemand wundert, was ich mit der wsock32.dll vorhabe... es geht um eine Firewall nach dem Vorbild von iSafer, einer Open-Source Pascal Firewall, die eben die beiden Socket DLLs (wsock32.dll und ws2_32.dll) hookt.

Jo hab selbst wenig Zeit wegem dem Studium und paar Seminararbeiten und Projekte Wäre nett wenndu mir sagen könntest ob du in kein Programm was reinladen kannst, oder ob es nur mit einem bestimmten nicht geht. WElchen AV/ Firewall hast du?

So... ich bin wieder da

Ich danke dir auf jeden Fall schon mal, dass du dir dennoch Zeit für mich nimmst

Also:

AV: AntiVir
FW: Windows Firewall

Ich habe den Hook mal noch mit notepad.exe und wmplayer.exe ausgetestet: Immer das selbe Problem...

Ich werd mal schauen, ob nicht doch GetProcessID irgendwo was verbockt, was eigentlich nicht wahrscheinlich sein dürfte, da sie ja sonst perfekt funktioniert...

Ich hoffe wir finden gemeinsam eine Lösung

OK... ich habe das Problem gelöst.

Es war ein kleiner aber gemeiner Fehler in der GetProcessID. Drauf gekommen bin ich dadurch, dass ich ein funktionierendes Programm, dass GetProcessID einsetzt mit meinem aktuellen verglichen hab. Ersteres verwendete eine komplette Unit von Luckie, die er auf seiner Homepage zum Download anbietet, das zweite nur die GetProcessID-Methode, die ich vor einiger Zeit in meine nützliche-Methoden-Unit hinein kopiert habe.

Der Fehler an sich war folgender:

Das Hooken der DLL funktioniert nun endlich und ich kann mich darum kümmern meine Firewall zum Laufen zu bringen (ich bin also vollauf zufrieden )