Tema: Problemas al obtener direcciones de funciones
Ver Mensaje Individual
  #1  
Antiguo 18-06-2014
Avatar de aguml
aguml aguml is offline
Miembro
  
Registrado: may 2013
Posts: 885
Reputación: 14
aguml Va por buen camino
Problemas al obtener direcciones de funciones
Bueno pues estoy trasteando para crear una dll la cual pueda injertarse a un proceso victima y parece que la injeccion funciona pero ahora quiero crear una dll que me permita hacer los hooks y tengo esto:

DllHook.dll:
Código:
#include <vcl.h>
#include <windows.h>
#pragma hdrstop
#pragma argsused

#define EXTERN_DLL_EXPORT extern "C" __declspec(dllexport)

EXTERN_DLL_EXPORT ULONG GetAddressNtSetInformationThread(void);

EXTERN_DLL_EXPORT ULONG GetAddressNtQueryInformationProcess(void);

int WINAPI DllEntryPoint(HINSTANCE hinst, unsigned long reason, void* lpReserved)
{
        return 1;
}

ULONG GetAddressNtSetInformationThread(void)
{
        HMODULE hMod;

        hMod = LoadLibrary("ntdll.dll");
        return (ULONG)GetProcAddress(hMod,"NtSetInformationThread");
}
//---------------------------------------------------------------------------

ULONG GetAddressNtQueryInformationProcess(void)
{
        HMODULE hMod;

        hMod = LoadLibrary("ntdll.dll");
        return (ULONG)GetProcAddress(hMod,"NtQueryInformationProcess");

}
Y luego desde el programa externo hago algo asi:
Código:
void InjectDll( HANDLE hProcess, AnsiString DLL )
{
        ULONG bytesWritten, TID;
        HANDLE pThreadStartRoutine, hThread;
        HANDLE Parameters = VirtualAllocEx(hProcess,NULL,1000,MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
        char prueba[20];
        WriteProcessMemory(hProcess,Parameters,DLL.c_str(),DLL.Length()+1, &bytesWritten);

        pThreadStartRoutine = GetProcAddress(GetModuleHandle("kernel32.dll"),"LoadLibraryA");

        hThread = CreateRemoteThread(hProcess,NULL,0,(LPTHREAD_START_ROUTINE)pThreadStartRoutine,Parameters,0,&TID);

        HMODULE hDll;

        hDll = LoadLibrary("DllHook.dll");

        ULONG (WINAPI *GetAddressNtQueryInformationProcess)(void);
        *(FARPROC *)&GetAddressNtQueryInformationProcess = GetProcAddress(hDll, "GetAddressNtQueryInformationProcess");
        ULONG retval = (ULONG)GetAddressNtQueryInformationProcess();
}
Hice una prueba poniendo un mensaje en el EntryPoint de la dll y aparecia el mensaje aunque no se porque salia varias veces, luego en hDll obtengo el modulo y luego cuando intento obtener la direccion de la funcion me devuelve NULL. ¿que hago mal para que no me devuelva esa direccion?
La idea es obtener la direccion de las apis y luego parchearlas para que ejecute una funcion, la cual tengo que crearla todavia, en la que compruebe los parametros de entrada y los modifique para que de el resultado que yo quiera o que, en el caso de NtSetInformationThread haga un inline cambiando el inicio por xor eax,eax y retn 0x10 y con eso nos salvamos de esa api para evitar ese truco anti debug. ¿La idea es correcta o tendré problemas por hacerlo asi? quiero hacerlo usando una dll injertada para que las direcciones que me de sean las mismas que obtendrá el proceso victima y creo que alguna vez me dijeron que a partir de vista las direcciones cambian en cada aplicacion y supongo que para una dll que se ejecuta en la aplicacion las direcciones de las funciones serán las mismas que para el proceso ¿no?
¿Me podeis ayudar con esto?
Responder Con Cita