Club Delphi  
    Paypal   FTP   CCD     Buscar   Trucos   Trabajo   Foros

Retroceder   Foros Club Delphi > Otros entornos y lenguajes > C++ Builder
Registrarse FAQ Miembros Calendario Guía de estilo Temas de Hoy

Respuesta
 
Herramientas Buscar en Tema Desplegado
  #1  
Antiguo 18-06-2014
Avatar de aguml
aguml aguml is offline
Miembro
 
Registrado: may 2013
Posts: 885
Poder: 14
aguml Va por buen camino
Problemas al obtener direcciones de funciones

Bueno pues estoy trasteando para crear una dll la cual pueda injertarse a un proceso victima y parece que la injeccion funciona pero ahora quiero crear una dll que me permita hacer los hooks y tengo esto:

DllHook.dll:
Código:
#include <vcl.h>
#include <windows.h>
#pragma hdrstop
#pragma argsused

#define EXTERN_DLL_EXPORT extern "C" __declspec(dllexport)

EXTERN_DLL_EXPORT ULONG GetAddressNtSetInformationThread(void);

EXTERN_DLL_EXPORT ULONG GetAddressNtQueryInformationProcess(void);

int WINAPI DllEntryPoint(HINSTANCE hinst, unsigned long reason, void* lpReserved)
{
        return 1;
}

ULONG GetAddressNtSetInformationThread(void)
{
        HMODULE hMod;

        hMod = LoadLibrary("ntdll.dll");
        return (ULONG)GetProcAddress(hMod,"NtSetInformationThread");
}
//---------------------------------------------------------------------------

ULONG GetAddressNtQueryInformationProcess(void)
{
        HMODULE hMod;

        hMod = LoadLibrary("ntdll.dll");
        return (ULONG)GetProcAddress(hMod,"NtQueryInformationProcess");

}
Y luego desde el programa externo hago algo asi:
Código:
void InjectDll( HANDLE hProcess, AnsiString DLL )
{
        ULONG bytesWritten, TID;
        HANDLE pThreadStartRoutine, hThread;
        HANDLE Parameters = VirtualAllocEx(hProcess,NULL,1000,MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
        char prueba[20];
        WriteProcessMemory(hProcess,Parameters,DLL.c_str(),DLL.Length()+1, &bytesWritten);

        pThreadStartRoutine = GetProcAddress(GetModuleHandle("kernel32.dll"),"LoadLibraryA");

        hThread = CreateRemoteThread(hProcess,NULL,0,(LPTHREAD_START_ROUTINE)pThreadStartRoutine,Parameters,0,&TID);

        HMODULE hDll;

        hDll = LoadLibrary("DllHook.dll");

        ULONG (WINAPI *GetAddressNtQueryInformationProcess)(void);
        *(FARPROC *)&GetAddressNtQueryInformationProcess = GetProcAddress(hDll, "GetAddressNtQueryInformationProcess");
        ULONG retval = (ULONG)GetAddressNtQueryInformationProcess();
}
Hice una prueba poniendo un mensaje en el EntryPoint de la dll y aparecia el mensaje aunque no se porque salia varias veces, luego en hDll obtengo el modulo y luego cuando intento obtener la direccion de la funcion me devuelve NULL. ¿que hago mal para que no me devuelva esa direccion?
La idea es obtener la direccion de las apis y luego parchearlas para que ejecute una funcion, la cual tengo que crearla todavia, en la que compruebe los parametros de entrada y los modifique para que de el resultado que yo quiera o que, en el caso de NtSetInformationThread haga un inline cambiando el inicio por xor eax,eax y retn 0x10 y con eso nos salvamos de esa api para evitar ese truco anti debug. ¿La idea es correcta o tendré problemas por hacerlo asi? quiero hacerlo usando una dll injertada para que las direcciones que me de sean las mismas que obtendrá el proceso victima y creo que alguna vez me dijeron que a partir de vista las direcciones cambian en cada aplicacion y supongo que para una dll que se ejecuta en la aplicacion las direcciones de las funciones serán las mismas que para el proceso ¿no?
¿Me podeis ayudar con esto?
Responder Con Cita
  #2  
Antiguo 18-06-2014
Avatar de aguml
aguml aguml is offline
Miembro
 
Registrado: may 2013
Posts: 885
Poder: 14
aguml Va por buen camino
Tambien he probado esto pero tampoco me ha funcionado:

Código:
HMODULE hDll;

        hDll = LoadLibrary("DllHook.dll");

        typedef ULONG __cdecl(*pFuncDllHook)(void);
        pFuncDllHook GetAddressNtQueryInformationProcess;

        GetAddressNtQueryInformationProcess = (pFuncDllHook)GetProcAddress(hDll, "GetAddressNtQueryInformationProcess"); //obtiene el puntero
        ULONG retval =  GetAddressNtQueryInformationProcess();
Responder Con Cita
  #3  
Antiguo 18-06-2014
Avatar de escafandra
[escafandra] escafandra is offline
Miembro Premium
 
Registrado: nov 2007
Posts: 2.210
Poder: 22
escafandra Tiene un aura espectacularescafandra Tiene un aura espectacular
No entiendo tu problema, tu código me funciona.

Si quieres atacar tu propio proceso no te hace falta dll. GetProcAddress se encarga de encontrar la dirección correcta en tu proceso o en una dll. Cosa diferente sería si vas a hacer una inyección directa de un shellcode, sin dll, pero no es el caso.


Saludos.
Responder Con Cita
  #4  
Antiguo 18-06-2014
Avatar de aguml
aguml aguml is offline
Miembro
 
Registrado: may 2013
Posts: 885
Poder: 14
aguml Va por buen camino
mi proceso inyectara la dll a otro proceso para tabajar sobre ese otro proceso. A ver si me puedes ayudar para que al menos mi dll ejecute lo que tengo y luego ya intentaré solucionar lo de los hooks.
Responder Con Cita
  #5  
Antiguo 19-06-2014
Avatar de escafandra
[escafandra] escafandra is offline
Miembro Premium
 
Registrado: nov 2007
Posts: 2.210
Poder: 22
escafandra Tiene un aura espectacularescafandra Tiene un aura espectacular
Código:
int WINAPI DllEntryPoint(HINSTANCE hinst, unsigned long fwdreason, void* lpReserved)
{
  switch (fwdreason) {
    case DLL_PROCESS_ATTACH:  // cuando se carga la dll
      InstallHook();
      break;
    case DLL_PROCESS_DETACH:  // cuando se descarga la dll
      UnInstallHook();
      break;
  }
  return 1;
}
El resto de las funciones no las puedes llamar desde tu proceso con la confianza de que funcionen en el proceso inyectado.

Cada proceso carga una copia diferente de la dll, de modo que sus variables globales lo serán sólo para el proceso inyectado y las llamadas a funciones desde otro proceso, sencillamente trabajan como en ese proceso y no como en el inyectado. Entendido este punto, las funciones que implementas GetAddressNtSetInformationThread y GetAddressNtQueryInformationProcess funcionan en el proceso que hace la llamada, no afectan a ningún otro.

El punto de entrada que te pongo arriba, ilustra como iniciar las cosas cuando la dll se carga en un proceso determinado y afectarán sólo a ese proceso. Es por ese motivo que un hook a una API solo se realiza en el proceso que cargó la dll, si quieres afectar otros procesos, tendrás que inyectar la dll en cada uno de ellos. No puedes continuar sin tener claro este punto.

Piensa que si quieres hacer un Hook a las APIs NtSetInformationThread y NtQueryInformationProcess, deberás cargar la dll en todos los procesos que las utilicen contra tu programa, en general en todos los procesos existentes y que se inyecte en los nuevos nacientes.


Saludos.
Responder Con Cita
  #6  
Antiguo 19-06-2014
Avatar de aguml
aguml aguml is offline
Miembro
 
Registrado: may 2013
Posts: 885
Poder: 14
aguml Va por buen camino
vale, ya lo tengo claro. Lo he cambiado y las funciones las llamo ahora desde la dll aunque la dll no la tengo como indicas. Puse un MessageBox dentro de DllEntryPoint y saltaba varias veces y ahora entiendo porque pasaba eso, tengo que solucionar eso y que no uso VirtuaProtect para cambiar los permisos de las dlls. Segun he leido si no cambio los permisos daria una excepcion al intentar escribir en ellas y no haria nada. Justo lo que me pasa ahora mismo, tengo las llamadas a las funciones en DllEntryPoint y estas intentan modificar el inicio de las apis sin tener los permisos necesarios. Lo que no tengo nada claro es como haces para aplicar un filtro y, dependiendo de este, ejecutes el codigo original o no. ¿Como haces eso? Es que al cambiar el inicio de la api no sabes seguro que instrucciones te estas cargando y, como todas no son del mismo tamaño de bytes, pues la cosa se complica ya que no es tan facil como ejecutar esas lineas en la dll y retornar a la siguiente linea de la api despues del injerto. ¿Me puedes explicar eso detalladamente?
Responder Con Cita
Respuesta



Normas de Publicación
no Puedes crear nuevos temas
no Puedes responder a temas
no Puedes adjuntar archivos
no Puedes editar tus mensajes

El código vB está habilitado
Las caritas están habilitado
Código [IMG] está habilitado
Código HTML está deshabilitado
Saltar a Foro

Temas Similares
Tema Autor Foro Respuestas Último mensaje
¿como obtener direcciones de memoria...? usuario87 Varios 3 07-08-2011 04:22:44
Obtener direcciones de Imagenes y SWF Deiv HTML, Javascript y otros 5 20-07-2007 09:50:31
Problemas con funciones matematicas jorgegetafe Varios 3 05-02-2007 17:43:09
Problemas al definir UDF (Funciones en una DLL) pcicom Firebird e Interbase 2 21-06-2006 05:49:15
Problemas con Funciones mauro Internet 2 04-07-2003 13:10:06


La franja horaria es GMT +2. Ahora son las 02:47:39.


Powered by vBulletin® Version 3.6.8
Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.
Traducción al castellano por el equipo de moderadores del Club Delphi
Copyright 1996-2007 Club Delphi