Problemas al obtener direcciones de funciones

[aguml]

Bueno pues estoy trasteando para crear una dll la cual pueda injertarse a un proceso victima y parece que la injeccion funciona pero ahora quiero crear una dll que me permita hacer los hooks y tengo esto:

DllHook.dll:

Código:

#include <vcl.h>
#include <windows.h>
#pragma hdrstop
#pragma argsused

#define EXTERN_DLL_EXPORT extern "C" __declspec(dllexport)

EXTERN_DLL_EXPORT ULONG GetAddressNtSetInformationThread(void);

EXTERN_DLL_EXPORT ULONG GetAddressNtQueryInformationProcess(void);

int WINAPI DllEntryPoint(HINSTANCE hinst, unsigned long reason, void* lpReserved)
{
        return 1;
}

ULONG GetAddressNtSetInformationThread(void)
{
        HMODULE hMod;

        hMod = LoadLibrary("ntdll.dll");
        return (ULONG)GetProcAddress(hMod,"NtSetInformationThread");
}
//---------------------------------------------------------------------------

ULONG GetAddressNtQueryInformationProcess(void)
{
        HMODULE hMod;

        hMod = LoadLibrary("ntdll.dll");
        return (ULONG)GetProcAddress(hMod,"NtQueryInformationProcess");

}

Y luego desde el programa externo hago algo asi:

Código:

void InjectDll( HANDLE hProcess, AnsiString DLL )
{
        ULONG bytesWritten, TID;
        HANDLE pThreadStartRoutine, hThread;
        HANDLE Parameters = VirtualAllocEx(hProcess,NULL,1000,MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
        char prueba[20];
        WriteProcessMemory(hProcess,Parameters,DLL.c_str(),DLL.Length()+1, &bytesWritten);

        pThreadStartRoutine = GetProcAddress(GetModuleHandle("kernel32.dll"),"LoadLibraryA");

        hThread = CreateRemoteThread(hProcess,NULL,0,(LPTHREAD_START_ROUTINE)pThreadStartRoutine,Parameters,0,&TID);

        HMODULE hDll;

        hDll = LoadLibrary("DllHook.dll");

        ULONG (WINAPI *GetAddressNtQueryInformationProcess)(void);
        *(FARPROC *)&GetAddressNtQueryInformationProcess = GetProcAddress(hDll, "GetAddressNtQueryInformationProcess");
        ULONG retval = (ULONG)GetAddressNtQueryInformationProcess();
}

Hice una prueba poniendo un mensaje en el EntryPoint de la dll y aparecia el mensaje aunque no se porque salia varias veces, luego en hDll obtengo el modulo y luego cuando intento obtener la direccion de la funcion me devuelve NULL. ¿que hago mal para que no me devuelva esa direccion?
La idea es obtener la direccion de las apis y luego parchearlas para que ejecute una funcion, la cual tengo que crearla todavia, en la que compruebe los parametros de entrada y los modifique para que de el resultado que yo quiera o que, en el caso de NtSetInformationThread haga un inline cambiando el inicio por xor eax,eax y retn 0x10 y con eso nos salvamos de esa api para evitar ese truco anti debug. ¿La idea es correcta o tendré problemas por hacerlo asi? quiero hacerlo usando una dll injertada para que las direcciones que me de sean las mismas que obtendrá el proceso victima y creo que alguna vez me dijeron que a partir de vista las direcciones cambian en cada aplicacion y supongo que para una dll que se ejecuta en la aplicacion las direcciones de las funciones serán las mismas que para el proceso ¿no?
¿Me podeis ayudar con esto?

[aguml]

Tambien he probado esto pero tampoco me ha funcionado:

Código:

HMODULE hDll;

        hDll = LoadLibrary("DllHook.dll");

        typedef ULONG __cdecl(*pFuncDllHook)(void);
        pFuncDllHook GetAddressNtQueryInformationProcess;

        GetAddressNtQueryInformationProcess = (pFuncDllHook)GetProcAddress(hDll, "GetAddressNtQueryInformationProcess"); //obtiene el puntero
        ULONG retval =  GetAddressNtQueryInformationProcess();

[[escafandra]]

No entiendo tu problema, tu código me funciona.

Si quieres atacar tu propio proceso no te hace falta dll. GetProcAddress se encarga de encontrar la dirección correcta en tu proceso o en una dll. Cosa diferente sería si vas a hacer una inyección directa de un shellcode, sin dll, pero no es el caso.


Saludos.

[aguml]

mi proceso inyectara la dll a otro proceso para tabajar sobre ese otro proceso. A ver si me puedes ayudar para que al menos mi dll ejecute lo que tengo y luego ya intentaré solucionar lo de los hooks.

[[escafandra]]

Código:

int WINAPI DllEntryPoint(HINSTANCE hinst, unsigned long fwdreason, void* lpReserved)
{
  switch (fwdreason) {
    case DLL_PROCESS_ATTACH:  // cuando se carga la dll
      InstallHook();
      break;
    case DLL_PROCESS_DETACH:  // cuando se descarga la dll
      UnInstallHook();
      break;
  }
  return 1;
}

El resto de las funciones no las puedes llamar desde tu proceso con la confianza de que funcionen en el proceso inyectado.

Cada proceso carga una copia diferente de la dll, de modo que sus variables globales lo serán sólo para el proceso inyectado y las llamadas a funciones desde otro proceso, sencillamente trabajan como en ese proceso y no como en el inyectado. Entendido este punto, las funciones que implementas GetAddressNtSetInformationThread y GetAddressNtQueryInformationProcess funcionan en el proceso que hace la llamada, no afectan a ningún otro.

El punto de entrada que te pongo arriba, ilustra como iniciar las cosas cuando la dll se carga en un proceso determinado y afectarán sólo a ese proceso. Es por ese motivo que un hook a una API solo se realiza en el proceso que cargó la dll, si quieres afectar otros procesos, tendrás que inyectar la dll en cada uno de ellos. No puedes continuar sin tener claro este punto.

Piensa que si quieres hacer un Hook a las APIs NtSetInformationThread y NtQueryInformationProcess, deberás cargar la dll en todos los procesos que las utilicen contra tu programa, en general en todos los procesos existentes y que se inyecte en los nuevos nacientes.


Saludos.

[aguml]

vale, ya lo tengo claro. Lo he cambiado y las funciones las llamo ahora desde la dll aunque la dll no la tengo como indicas. Puse un MessageBox dentro de DllEntryPoint y saltaba varias veces y ahora entiendo porque pasaba eso, tengo que solucionar eso y que no uso VirtuaProtect para cambiar los permisos de las dlls. Segun he leido si no cambio los permisos daria una excepcion al intentar escribir en ellas y no haria nada. Justo lo que me pasa ahora mismo, tengo las llamadas a las funciones en DllEntryPoint y estas intentan modificar el inicio de las apis sin tener los permisos necesarios. Lo que no tengo nada claro es como haces para aplicar un filtro y, dependiendo de este, ejecutes el codigo original o no. ¿Como haces eso? Es que al cambiar el inicio de la api no sabes seguro que instrucciones te estas cargando y, como todas no son del mismo tamaño de bytes, pues la cosa se complica ya que no es tan facil como ejecutar esas lineas en la dll y retornar a la siguiente linea de la api despues del injerto. ¿Me puedes explicar eso detalladamente?

[[escafandra]]

En el tutorial que encontraste y aquí está explicado con todo detalle como realizar el Hook, como volver del Hook, como deshacer el Hook, como llamar a la API original y como evitar machacar instrucciones asm cuando dos API no tienen el mismo punto de entrada, usando un desensamblador de longitud en el mismo código que realiza el Hook. Debes leerlo despacio y estudiar los esquemas del hook de ejemplo. El ejemplo es funcionante y trasladable para cualquier API en modo usuario sin más cambios que declarar la API, su sustituta y encontrar los puntero a ambas.

El código está escrito en delphi pero no hay dificultad para pasarlo a C, ya que solo usa API. En este punto te puedo echar una mano ti se atascas.


Saludos.

[aguml]

amigo por el momento tengo otros problemas, te cuento.
He creado la dll la cual la inyecto y, si lo hago sobre el mismo programa funciona perfecto y parchea las apis que le indique con valores fijos para cada una (de momento solo parcheo y cuando haga correr bien la dll en cualquier funcion me lio con el tema de hooks).
El problema está en si lo intento hacer sobre otra aplicacion ajena a la que hace la inyeccion, la aplicacion inyectora pasa todos los condicionales correctamente hasta crear el hilo pero parece ser que el hilo no se crea porque no me muestra mensajes que tengo puestos ni nada, es como si no existiese la dll en el proceso.

El codigo lo he dejado asi:
El inyector:

Código:

void InjectDll( HANDLE hProcess, AnsiString DLL )
{
        ULONG bytesWritten, TID;
        HANDLE pThreadStartRoutine,hThread,Parameters;

        //Creamos espacio en el proceso
        Parameters = VirtualAllocEx(hProcess,NULL,DLL.Length()+1,MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
        if(Parameters != NULL)
        {
                WriteProcessMemory(hProcess,Parameters,DLL.c_str(),DLL.Length()+1, &bytesWritten);

                if(bytesWritten == (ULONG)DLL.Length()+1)
                {
                        pThreadStartRoutine = GetProcAddress(GetModuleHandle("kernel32.dll"),"LoadLibraryA");

                        if(pThreadStartRoutine != NULL)
                        {
                                hThread = CreateRemoteThread(hProcess,NULL,0,(LPTHREAD_START_ROUTINE)pThreadStartRoutine,Parameters,0,&TID);

                                if(hThread == NULL)
                                {
                                        MessageBox(GetCurrentProcess(),"No se pudo crear el hilo.","Error",MB_OK);
                                }else{
                                        WaitForSingleObject(hThread,INFINITE);
                                }
                        }else{
                                MessageBox(GetCurrentProcess(),"No se pudo obtener la direccion base de LoadLibraryA.","Error",MB_OK);
                        }
                }else{
                        MessageBox(GetCurrentProcess(),"No se pudo parchear la API.","Error",MB_OK);
                }
        }else{
                MessageBox(GetCurrentProcess(),"No se pudo obtener memoria para inyectar la dll.","Error",MB_OK);
        }
}

y la dll quedó asi:

Código:

#include <windows.h>
#include <UnitFunctions.h>
#pragma argsused

int WINAPI DllEntryPoint(HINSTANCE hinst, unsigned long reason, void* lpReserved)
{
        BYTE injertoZwSetInformationThread[] = {0x33,0xC0,0xC2,0x10,0x00};
        BYTE injertoZwQueryInformationProcess[] = {0xC7,0x01,0x00,0x00,0x00,0x00,0x33,0xC0,0xC2,0x14,0x00};
        ULONG len;

        switch(reason)
        {
                case DLL_PROCESS_ATTACH:
                        if(lpReserved)
                                MessageBox(0,"Process has attached to DLL by static loading.","UnitEntryPoint.cpp",MB_OK);
                        else
                                //Parcheo ZwSetInformationThread
                                len = sizeof(injertoZwSetInformationThread);
                                PatchAPI(injertoZwSetInformationThread,len,"ntdll.dll","NtSetInformationThread");

                                //Parcheo ZwQueryInformationProcess
                                len = sizeof(injertoZwQueryInformationProcess);
                                PatchAPI(injertoZwQueryInformationProcess,len,"ntdll.dll","NtQueryInformationProcess");
                                MessageBox(0,"Process has attached to DLL by dinamic loading.","UnitEntryPoint.cpp",MB_OK);
                        break;

                case DLL_THREAD_ATTACH:
                        MessageBox(0,"Thread has attached to DLL.","UnitEntryPoint.cpp",MB_OK);
                        break;

                case DLL_THREAD_DETACH:
                        MessageBox(0,"Thread has detached from DLL.","UnitEntryPoint.cpp",MB_OK);
                        break;

                case DLL_PROCESS_DETACH:
                        MessageBox(0,"Process has detached from DLL.","UnitEntryPoint.cpp",MB_OK);
                        break;
        }
        
        return 1;
}

y aqui las funciones de la dll:

Código:

#pragma hdrstop

#include "UnitFunctions.h"
//---------------------------------------------------------------------------

void PatchAPI(BYTE *injerto,ULONG len,char *nameDLL,char *nameAPI)
{
        ULONG Dir;
        ULONG nWrite;
        ULONG oldProtect;

        Dir = GetAddressAPI(nameDLL,nameAPI);

        if(Dir == NULL)
        {
                MessageBox(NULL,"Error al obtener la direccion de NtSetInformationThread.","ERROR",MB_OK);
        }else{
                if(VirtualProtect((LPVOID)Dir,len,PAGE_WRITECOPY,&oldProtect) == 0)
                {
                        char mensaje[] = "VirtualProtect ha fallado.\nNo se pudo injertar en ";
                        strcat(mensaje,nameAPI);
                        MessageBox(NULL,mensaje,"ERROR",MB_OK);
                }else{
                        WriteProcessMemory(GetCurrentProcess(),(LPVOID)Dir,injerto,len,&nWrite);

                        if(VirtualProtect((LPVOID)Dir,len,oldProtect,&oldProtect) == 0)
                        {
                                char mensaje[] = "VirtualProtect ha fallado.\nNo se pudo restaurar los mermisos originales en ";
                                strcat(mensaje,nameAPI);
                                MessageBox(NULL,mensaje,"ERROR",MB_OK);
                        }
                }
        }
}
//---------------------------------------------------------------------------

ULONG GetAddressAPI(char* nameDLL,char* nameAPI)
{
        HMODULE hMod;

        hMod = LoadLibrary(nameDLL);
        return (ULONG)GetProcAddress(hMod,nameAPI);
}
//---------------------------------------------------------------------------

#pragma package(smart_init)

y el archivo de cabecera de las funciones:

Código:

#include <Windows.h>
#include <string.h>
#ifndef UnitFunctionsH
#define UnitFunctionsH
//---------------------------------------------------------------------------

/*
#ifdef __cplusplus
extern "C"
{
#endif
//Aqui se definen las funciones externas como en el siguiente ejemplo
__declspec(dllexport) const int GetAnswerOfLife();

#ifdef __cplusplus
}
#endif
*/

ULONG GetAddressAPI(char* nameDLL,char* nameAPI);
void PatchAPI(BYTE *injerto,ULONG len,char *nameDLL,char *nameAPI);

//---------------------------------------------------------------------------
#endif

Si el inyector no me da fallos ¿que estoy haciendo mal?

a la victima la creo con:

Código:

CreateProcess(PathFile.c_str(),NULL, NULL, NULL, FALSE, DEBUG_PROCESS | DEBUG_ONLY_THIS_PROCESS, NULL, NULL, &si, &pi);

Ya que estaré depurandola y en el entrypoint del proceso hago esto:

Código:

AnsiString DLL = "DllHook.dll";
InjectDll(pi.hProcess, DLL);

Se me queda en la linea:

Código:

WaitForSingleObject(hThread,INFINITE);

Se queda esperando y nunca retorna. Cuando la victima es la misma funcion que crea la inyeccion si funciona correctamente.
No entiendo donde puede estar el error.

[[escafandra]]

El problema es que estás depurando la app. Crea el proceso sin depuración y verás como la dll se inyecta.

Saludos.

[aguml]

Entonces ¿Si estoy depurando no puedo inyectar una dll desde el depurador? Yo pensaba que al depurar tenia todos los permisos. ¿que solucion existe para eso?

[[escafandra]]

Tal como arrancas el proceso, se carga de forma distinta a un proceso normal.

¿Por qué nececitas inyectar una dll en el proceso que estás depurado?
Entiendo que tratas de crear una protección para tu APP y que haces pruebas tratando de depurar tu propia app. ¿Es así?. En ese caso codifica tu APP para que inyecte la dll a todos los demás. Un Hook funciona en el proceso que llama a la API y que, a su vez, está inyectado. Supongo que será otro proceso el que trate de depurar tu App, entonces éste deberá ser inyectado.

Otro tema interesante es saber en que S.O. quieres que funcione la inyección y sobre que procesos.


Saludos.

[aguml]

Lo he probado creando un nuevo proyecto y en este he codificado de forma que cree otro proceso y le inyecte la dll y funciona correctamente. Ciertamente es porque si estoy depurando al proceso no sirve el hook.
Amigo no me entendiste. Mi aplicacion es un depurador el cual depurará a otras aplicaciones y a la aplicacion que depure le debe inyectar la dll para hookear ciertas apis y así ocultar al depurador de estas. Esa es la idea.
Si no estoy depurando a la aplicacion no tiene sentido hacer los hooks ya que no detectará ningun depurador por lo tanto tiene que ser a la aplicacion que esté depurando. ¿me entiendes?
Las pruebas las estoy haciendo con un binario que he creado y al que le he añadido varias protecciones como IsDebuggerPresent, DebugPort, NtSetInformationThread, NtQueryInformationProcess, ... vamos todas las del PEB mas algunas con apis. Las del PEB estan todas solucionadas pero las de esas API's necesito hookearlas para evitarlas ya que si, por ejemplo, NtQueryInformationProcess es llamada con el parametro InformationClass con el valor 7 le está pidiendo que devuelva el puerto libre para depurar a la aplicacion y si ya la estoy depurando pues devuelve -1. Para evitarlo basta con comprobar, cuando llama a la api, si vale 7 y si es así devuelvo lo que me interesa a mi y no dejo que se ejecute la api. Esa es la idea. Lo que estoy viendo en la otra web lo tengo que compilar y verlo mas detenidamente a ver que hace y como lo hace para entenderlo porque no me entero ni con los comentarios T_T

[[escafandra]]

Entiendo. He hecho pruebas y puedo inyectar una dll en el evento OnCreateProcess:

Código:

void Debug::OnCreateProcess(DWORD processId, DWORD threadId, CREATE_PROCESS_DEBUG_INFO const & createProcess)
{
     InjectDll(createProcess.hProcess, "project4.dll");
    //........................
}

Pero debes eliminar la espera al thread:

Código:

WaitForSingleObject(hThread,INFINITE);

Pues al estar en modo debug no continuará el hilo de forma normal y te para el deguger.


Saludos.

[aguml]

bueno, despues de darle vuelta he pensado que me estaba complicando la vida ya que al estar depurando puedo usar VirtualAllocEx para añadir espacio y simplemente coloco alli lo que yo quiera ejecutar. Como las apis en cuestion las tiene que cargar de ntdll.dll pues pongo un condicional el cual cuando se cargue esa dll buscará esas apis y les pondra un bp al inicio. Por ultimo solo me queda que en el evento de los bps pues comprueve los parametros con los que entra y decidir si ejecuta la api o mi injerto. ¿Te parece buena esta solucion?

[[escafandra]]

Lo que pretendes es una inyección directa de código. No es tan fácil como puedas pensar en un primer momento porque hay que ser extremadamente cuidadoso con el código y cumplir ciertas reglas. Revisa estos enlaces:

Crear Shellcode en delphi
Shellcode en C compatible con distintas inyecciones


Saludos.

[[escafandra]]

He hecho pruebas en WinXP inyectando desde un programa depurador y no va bien la inyección hecha desde el evento OnCreateProcess, (en Win8 si me funcionó bien) sin embargo en el evento OnLoadDll me funciona en ambos S.O. Pruébalo.

He inyectado una dll de ejemplo con un Hook a la API MessageBox con éxito en la inyección y el Hook.


Saludos.

[aguml]

muy interesante pero lo cierto es que ya me he decantado por usar el debugger y sus eventos para solucionar los injertos y demas y de momento NtSetInformationThread ya está solucionada. Lo que hice fue que cuando carga ntdll.dll guardo la direccion a esa api y luego, cuando me detengo en el entrypoint pongo un breakpoint en ella, y pongo un bp en esa api y espero a que pare en ella y cuando para en ella quito ese bp y llamo a la funcion que modifica el inicio de la api por un xor eax,eax y un retn 10. Con eso va perfecto. El problema lo tengo con la otra ya que uso un context para modificar los registros y me deja cambiarlos todos pero no sr que esta pasando que eip no se cambia y lo necesito para colocar el flujo de la ejecucion en la linea donde retorna de la api. ¿Sabes que puede ser? Uso lo mismo para modificar todos los registros y solo falla con eip. Cuando solucione este fallo podre cambiar tambien lo que hice con ntsetinformationthread ya que podria poner a cero eax usando el context, realinear la pila usando esp, y posicionar el flujo usando eip y seria lo mismo pero sin modificar la dll.

[[escafandra]]

Ahora no puedo hacer pruebas pero fíjate que en este enlace en la función InjectST cambio el eip, como tu pretendes, sin problemas tras suspender el hilo, para reanudarlo después.


Quizás sea más sencillo con una dll y hooks pero si lo consigues sin ello es perfectamente válido.


Saludos.

[aguml]

pues tengo que revisar esto: Context.ContextFlags = CONTEXT_CONTROL;
 Que igual no tengo puesto eso y por eso no funciona.

[aguml]

Solucionado!!!