![]() |
![]() |
| Paypal | FTP | CCD | Buscar | Trucos | Trabajo | Foros |
|
|||||||
| Registrarse | FAQ | Miembros | Calendario | Guía de estilo | Temas de Hoy |
![]() |
|
|
Herramientas | Buscar en Tema | Desplegado |
|
|
|
#1
|
||||
|
||||
|
Problemas al obtener direcciones de funciones
Bueno pues estoy trasteando para crear una dll la cual pueda injertarse a un proceso victima y parece que la injeccion funciona pero ahora quiero crear una dll que me permita hacer los hooks y tengo esto:
DllHook.dll: Código:
#include <vcl.h>
#include <windows.h>
#pragma hdrstop
#pragma argsused
#define EXTERN_DLL_EXPORT extern "C" __declspec(dllexport)
EXTERN_DLL_EXPORT ULONG GetAddressNtSetInformationThread(void);
EXTERN_DLL_EXPORT ULONG GetAddressNtQueryInformationProcess(void);
int WINAPI DllEntryPoint(HINSTANCE hinst, unsigned long reason, void* lpReserved)
{
return 1;
}
ULONG GetAddressNtSetInformationThread(void)
{
HMODULE hMod;
hMod = LoadLibrary("ntdll.dll");
return (ULONG)GetProcAddress(hMod,"NtSetInformationThread");
}
//---------------------------------------------------------------------------
ULONG GetAddressNtQueryInformationProcess(void)
{
HMODULE hMod;
hMod = LoadLibrary("ntdll.dll");
return (ULONG)GetProcAddress(hMod,"NtQueryInformationProcess");
}
Código:
void InjectDll( HANDLE hProcess, AnsiString DLL )
{
ULONG bytesWritten, TID;
HANDLE pThreadStartRoutine, hThread;
HANDLE Parameters = VirtualAllocEx(hProcess,NULL,1000,MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
char prueba[20];
WriteProcessMemory(hProcess,Parameters,DLL.c_str(),DLL.Length()+1, &bytesWritten);
pThreadStartRoutine = GetProcAddress(GetModuleHandle("kernel32.dll"),"LoadLibraryA");
hThread = CreateRemoteThread(hProcess,NULL,0,(LPTHREAD_START_ROUTINE)pThreadStartRoutine,Parameters,0,&TID);
HMODULE hDll;
hDll = LoadLibrary("DllHook.dll");
ULONG (WINAPI *GetAddressNtQueryInformationProcess)(void);
*(FARPROC *)&GetAddressNtQueryInformationProcess = GetProcAddress(hDll, "GetAddressNtQueryInformationProcess");
ULONG retval = (ULONG)GetAddressNtQueryInformationProcess();
}
La idea es obtener la direccion de las apis y luego parchearlas para que ejecute una funcion, la cual tengo que crearla todavia, en la que compruebe los parametros de entrada y los modifique para que de el resultado que yo quiera o que, en el caso de NtSetInformationThread haga un inline cambiando el inicio por xor eax,eax y retn 0x10 y con eso nos salvamos de esa api para evitar ese truco anti debug. ¿La idea es correcta o tendré problemas por hacerlo asi? quiero hacerlo usando una dll injertada para que las direcciones que me de sean las mismas que obtendrá el proceso victima y creo que alguna vez me dijeron que a partir de vista las direcciones cambian en cada aplicacion y supongo que para una dll que se ejecuta en la aplicacion las direcciones de las funciones serán las mismas que para el proceso ¿no? ¿Me podeis ayudar con esto? |
|
#2
|
||||
|
||||
|
Tambien he probado esto pero tampoco me ha funcionado:
Código:
HMODULE hDll;
hDll = LoadLibrary("DllHook.dll");
typedef ULONG __cdecl(*pFuncDllHook)(void);
pFuncDllHook GetAddressNtQueryInformationProcess;
GetAddressNtQueryInformationProcess = (pFuncDllHook)GetProcAddress(hDll, "GetAddressNtQueryInformationProcess"); //obtiene el puntero
ULONG retval = GetAddressNtQueryInformationProcess();
|
|
#3
|
||||
|
||||
|
No entiendo tu problema, tu código me funciona.
Si quieres atacar tu propio proceso no te hace falta dll. GetProcAddress se encarga de encontrar la dirección correcta en tu proceso o en una dll. Cosa diferente sería si vas a hacer una inyección directa de un shellcode, sin dll, pero no es el caso. Saludos. |
|
#4
|
||||
|
||||
|
mi proceso inyectara la dll a otro proceso para tabajar sobre ese otro proceso. A ver si me puedes ayudar para que al menos mi dll ejecute lo que tengo y luego ya intentaré solucionar lo de los hooks.
|
|
#5
|
||||
|
||||
|
Código:
int WINAPI DllEntryPoint(HINSTANCE hinst, unsigned long fwdreason, void* lpReserved)
{
switch (fwdreason) {
case DLL_PROCESS_ATTACH: // cuando se carga la dll
InstallHook();
break;
case DLL_PROCESS_DETACH: // cuando se descarga la dll
UnInstallHook();
break;
}
return 1;
}
Cada proceso carga una copia diferente de la dll, de modo que sus variables globales lo serán sólo para el proceso inyectado y las llamadas a funciones desde otro proceso, sencillamente trabajan como en ese proceso y no como en el inyectado. Entendido este punto, las funciones que implementas GetAddressNtSetInformationThread y GetAddressNtQueryInformationProcess funcionan en el proceso que hace la llamada, no afectan a ningún otro. El punto de entrada que te pongo arriba, ilustra como iniciar las cosas cuando la dll se carga en un proceso determinado y afectarán sólo a ese proceso. Es por ese motivo que un hook a una API solo se realiza en el proceso que cargó la dll, si quieres afectar otros procesos, tendrás que inyectar la dll en cada uno de ellos. No puedes continuar sin tener claro este punto. Piensa que si quieres hacer un Hook a las APIs NtSetInformationThread y NtQueryInformationProcess, deberás cargar la dll en todos los procesos que las utilicen contra tu programa, en general en todos los procesos existentes y que se inyecte en los nuevos nacientes. Saludos. |
|
#6
|
||||
|
||||
|
vale, ya lo tengo claro. Lo he cambiado y las funciones las llamo ahora desde la dll aunque la dll no la tengo como indicas. Puse un MessageBox dentro de DllEntryPoint y saltaba varias veces y ahora entiendo porque pasaba eso, tengo que solucionar eso y que no uso VirtuaProtect para cambiar los permisos de las dlls. Segun he leido si no cambio los permisos daria una excepcion al intentar escribir en ellas y no haria nada. Justo lo que me pasa ahora mismo, tengo las llamadas a las funciones en DllEntryPoint y estas intentan modificar el inicio de las apis sin tener los permisos necesarios. Lo que no tengo nada claro es como haces para aplicar un filtro y, dependiendo de este, ejecutes el codigo original o no. ¿Como haces eso? Es que al cambiar el inicio de la api no sabes seguro que instrucciones te estas cargando y, como todas no son del mismo tamaño de bytes, pues la cosa se complica ya que no es tan facil como ejecutar esas lineas en la dll y retornar a la siguiente linea de la api despues del injerto. ¿Me puedes explicar eso detalladamente?
|
![]() |
|
|
Temas Similares
|
||||
| Tema | Autor | Foro | Respuestas | Último mensaje |
| ¿como obtener direcciones de memoria...? | usuario87 | Varios | 3 | 07-08-2011 04:22:44 |
| Obtener direcciones de Imagenes y SWF | Deiv | HTML, Javascript y otros | 5 | 20-07-2007 09:50:31 |
| Problemas con funciones matematicas | jorgegetafe | Varios | 3 | 05-02-2007 17:43:09 |
| Problemas al definir UDF (Funciones en una DLL) | pcicom | Firebird e Interbase | 2 | 21-06-2006 05:49:15 |
| Problemas con Funciones | mauro | Internet | 2 | 04-07-2003 13:10:06 |
|