Einzelnen Beitrag anzeigen

brechi

Registriert seit: 30. Jan 2004
823 Beiträge
 
#2

Re: DLL Funktion Hook - Allgemeingültige Lösung / Codevorlag

  Alt 19. Jul 2009, 19:03
Naja es kommt auch ncoh auf die Sicherheit an, dynamisch oder statisch geladene DLLs sind eigentelich wurscht, jedenfalls wenn man CodeOverwriting verwendet.

Für CodeOverwriting im User-Mode reicht es eigentlich für das systemweite hooking den hookcode in jeden Prozess zu laden.
Für kommerzielle Programme solltest du mal www.madshi.net besuchen, für freie programme und OpenSource gibts u.a. Codehooking von Flocke bzw. mir ( http://uall.cheat-project.com/uallCollection ). Da kannste dir rasukopieren was du willst.

Für sicherheitsrelevante Anwendungen, solltest du dann kernelhooking (Treiber, einfach mit c++, teilweise über das DDDK möglich) verwenden, da kannst du aber im Grunde nur die Systemfunktionen hooken. Leider aber nicht mehr einache userfunktionen aus dlls (geht zwar auch, indem man CodeOverwriting macht mit Systemcall und protecten durch hooken von VirtualProtect etc., würde ich dir aber nicht empfehlen).

Also für den Anfang mal meien Collection anschaun, da sind hooks drin für z.B. opengl.glBegin usw. und ein testweiser Treiberhook aus Delphi (der vill auf 10% aller Systeme funzt und crahsen kann, also reines konzept zum testen).

Für dich würde wohl madCodehook am besten sein (systemweit durch injecten in alle prozesse, mit codeoverwriting für statische und dynamisch geladene dlls)

Bei madshi gibt es schöne Beschreibungen:
http://help.madshi.net/ApiHookingMethods.htm

Es gibt noch den "RelocationHooking, der bisl besser ist als Import+Export), hab ich damals eingebaut, glaub Madshi verwendet den mittlerweile auch. "Safe unhooking" ist meiner meinugn nach madshis Code nicht, jedenfalls hatten nildo und ich vor 2-3 jahren da mal etwas programmiert wo das Programm danach gecrashed ist. Aber madshis Codehook hat immerhin mehr checks damit nichts crashed.

Einzige wo ich mich bisher immer mit mdashi in den haaren hatte war die sicherheit. Sein codehook wird z.b. bei asquared verwendet (malware check und instrusion dectection system). Man kann es einfach ausschalten indem man die DLL entläft (ist ja im eigene prozess und nicht im kernel). also ist das eigentlich für sicherheitsrelevante programme mist.
  Mit Zitat antworten Zitat