WinApi hooking führt zum "Buffer Overrun!", hilfe!

Reply to WinApi hooking führt zum "Buffer Overrun!", hilfe! on Sun, 09 Mar 2008 17:39:53 GMT

T0bi — Sun, 09 Mar 2008 17:39:53 GMT

Hi,
also ich habe jetzt mal eine Weile getüftlet und mich entschieden, die MessageBoxA zu hooken eines fremden Processes, eigentlich klappt das auch super, statt der Original MessageBoxA wird meine eigene Funktion aufgerufen. Allerdings meldet sich im anschluss auch gleich der Debugger mit folgender Fehlermeldung:

A buffer overrun has occurred in WinApiVictim.exe which has corrupted the program's internal state. Press Break to debug the program or Continue to terminate the program.

Ich habe mir das ganze mal im OllyDebugger angeschaut, hier mal ein bild das den vergleich zeigt:
http://www.pictureupload.de/originals/pictures/090308183900_Weg.JPG

Und wenn er von meiner Funktion wieder zurück springt dann hängt sich das Programm beim nächsten Call auf. Hmm.... Muss ich da die überschriebenen Bytes sichern? und wenn ja, wie gehts dann weiter?

Ich hoffe ihr könnt mir da helfen?!

Gruß Tobi.

Reply to WinApi hooking führt zum "Buffer Overrun!", hilfe! on Mon, 10 Mar 2008 15:13:20 GMT

T0bi — Mon, 10 Mar 2008 15:13:20 GMT

Hat keiner nen Plan?

Reply to WinApi hooking führt zum "Buffer Overrun!", hilfe! on Mon, 10 Mar 2008 16:36:28 GMT

Jochen Kalmbach — Mon, 10 Mar 2008 16:36:28 GMT

T0bi schrieb:

Muss ich da die überschriebenen Bytes sichern? und wenn ja, wie gehts dann weiter?

Es sieht so aus, als ob Du hooking gar nicht verstanden hast...

Schau Dir Detours an.

Reply to WinApi hooking führt zum "Buffer Overrun!", hilfe! on Mon, 10 Mar 2008 16:36:51 GMT

Martin Richter — Mon, 10 Mar 2008 16:36:51 GMT

Veränderst Du denn Speicher im fremden Prozess? Kopierst Du Infos um?

Dann wundert es mich nicht...

Reply to WinApi hooking führt zum "Buffer Overrun!", hilfe! on Mon, 10 Mar 2008 16:53:07 GMT

T0bi — Mon, 10 Mar 2008 16:53:07 GMT

Naja ich suche mir die Funktion die ich hooken will, und an deren Adresse schreibe ich einen Jump zu meiner Funktion im speicher. nach beenden meiner Funktion springt er dann doch automatisch zurück hinter den Jump. Sicher dort wurden nun aber Bytes überschrieben, die kann ich doch aber nicht mehr da zwischen quetschen?!

@Jochen: Ich habe mir das Detours ja mal runter geladen gehabt aber ne richtige Doku habe ich nicht dazu gefunden, halt nur Funktionen und so, halt ohne Beschreibung.

Reply to WinApi hooking führt zum "Buffer Overrun!", hilfe! on Mon, 10 Mar 2008 18:33:16 GMT

Jochen Kalmbach — Mon, 10 Mar 2008 18:33:16 GMT

Wenn Du bytes einfach überschreibst und dann einfach irgendwo dahinter hinspringst, kann das logischerweise nicht gehen, da ja diese Bytes in der Ausführung fehlen, oder?

Reply to WinApi hooking führt zum "Buffer Overrun!", hilfe! on Mon, 10 Mar 2008 20:03:40 GMT

T0bi — Mon, 10 Mar 2008 20:03:40 GMT

Weiß ich ja, abr wie kann ich das ausmerzen?

Reply to WinApi hooking führt zum "Buffer Overrun!", hilfe! on Tue, 11 Mar 2008 18:37:12 GMT

T0bi — Tue, 11 Mar 2008 18:37:12 GMT

*Bitte, nicht vergessen!*

Reply to WinApi hooking führt zum "Buffer Overrun!", hilfe! on Wed, 12 Mar 2008 11:13:38 GMT

T0bi — Wed, 12 Mar 2008 11:13:38 GMT

soll ich dann evtl. die überschrieben bytes in meiner funktion dranhängen oder aehnliches?

Reply to WinApi hooking führt zum "Buffer Overrun!", hilfe! on Wed, 12 Mar 2008 12:01:37 GMT

Mmacher — Wed, 12 Mar 2008 12:01:37 GMT

Sorry, im Moment bin ich gereizt wenn ich dem Heute-ist-total-in-Schlagwort "Hooks" hier im Forum begegne.
Anscheinend schwappt hier eine Welle von "Möchtegern-Profi-Programmierern" über, die alles über Hooks Bescheid wissen oder wissen möchten.

Ist es Dir eigentlich klar, daß Du mit den manipulierten Bytes in andere Prozesse hineinpfuschst?
Bist Du Dir überhaupt im klaren, daß Du von Deinem Prozess aus NIEMALS in den Adressraum eines anderen Prozesses einsehen kannst?
Das ist der Sicherheitsmechanismus von WinNT um die Prozesse untereinander z.B. bei einem Absturz zu schützen.
(Ich gehe davon aus, Du redest hier von ganz normalen Prozessen, und nicht von Kernel- oder gar Ring 0-Funktionen)
Das sind Grundlagen, die man wissen müßte bevor man überhaupt irgendwas mit Hooks anfangen soll, die prozessübergreifend wirken.

Sowohl Martin Richter als auch Jochen Kalmbach SIND über jeden Zweifel erhaben absolut professionelle Programmierer.
Und sie haben Dir hier erklärt das das so nicht geht wie Du das beschrieben hast. Wie sollen wir Dir da noch helfen?

Speziell Du, mein Freund TObi, scheinst ein sehr hartnäckiger Typ zu sein.
Jochen hatte Dir schon mal Detours empfohlen, lese mal Deinen eigenen Beitrag von anno dazumal: http://www.c-plusplus.net/forum/viewtopic-var-t-is-206993-and-highlight-is-.html

Martin

Reply to WinApi hooking führt zum "Buffer Overrun!", hilfe! on Wed, 12 Mar 2008 12:06:37 GMT

.......... — Wed, 12 Mar 2008 12:06:37 GMT

Bist Du Dir überhaupt im klaren, daß Du von Deinem Prozess aus NIEMALS in den Adressraum eines anderen Prozesses einsehen kannst?

ReadProcessMemory

Reply to WinApi hooking führt zum "Buffer Overrun!", hilfe! on Wed, 12 Mar 2008 13:37:27 GMT

T0bi — Wed, 12 Mar 2008 13:37:27 GMT

Sicher.
Aber ich möchte nicht mit Detours arbeiten, sondern irgendwo sehen das ich das auch alleine schafe und nicht mit schon fertigen Funktionen aus libs.
Sicher ist mir auch klar das der Process abrauchen wird wenn ich da Bytes überschreibe und die nun mal nicht mehr für das Prgramm auffindbar sind. Ich hab mir da ja auch schon ein paar gedanken gemacht wie ich das umgehen kann und bin zu dieser Idee gekommen, so wie ich es ja auch schon in einigen Tutorials gesehen habe.

(Alles Process intern!)

*(1) Ich suche mir die Funktion die ich hooken will (MessageBoxA) aus der user32.dll und besorge mir deren Addresse

(2) Ich suche die Adresse meiner Funktion

(3) Da es meistens long jumps sind um auf Funktionen um zuleiten, werden 5Bytes benötigt, also schau ich im OllyDbg ob ich evtl. Bytes auseinander reiße oder nicht ( War nicht der Fall )

(4) Ich allociere in meiner Anwendung genug Speicher um: 1. den Sprung zu meiner Funktion im speicher / 2. die x zu sichernden Bytes / 3. den Sprung zurück zur original funktion zu machen bzw dahinter, zu speichern. Das macht am Ende 15Bytes die zu allocieren sind: 5 Sprung zur Funktion + 5 zu sichern + 5 Sprung zurück.

(5) Ich rechne alle Sprung weiten aus hin und zurück und schreibe dann alles so der reihe nach in den Speicher

(6) Nun schreibe ich von der zu hookenden Funktion ein Sprung zu diesen Speicher der alles beinhalten (4)*

Ich habe mir das alles mal Stück für Stück im Debugger angeschaut und festgestellt, das er exakt die 15Bytes sichert aber nachdem er den Jump zu meiner Funktion macht und diese ausgeführt hat springt er gleich zur Orignalen Funktion zurück ohne das er die anderen gesicherten Bytes ausführt die ihn da ja nun fehlen.

Wieso ist das so?

Gruß Tobi.

Reply to WinApi hooking führt zum "Buffer Overrun!", hilfe! on Wed, 12 Mar 2008 13:50:19 GMT

Martin Richter — Wed, 12 Mar 2008 13:50:19 GMT

Wenn Du JPs verwendest wundert mich dasin keiner Weise!

Reply to WinApi hooking führt zum "Buffer Overrun!", hilfe! on Wed, 12 Mar 2008 15:48:14 GMT

T0bi — Wed, 12 Mar 2008 15:48:14 GMT

wieso?

Reply to WinApi hooking führt zum "Buffer Overrun!", hilfe! on Wed, 12 Mar 2008 15:51:37 GMT

Martin Richter — Wed, 12 Mar 2008 15:51:37 GMT

Weil Du einen Call nicht durch einen Jump ersetzen kannst...

Wie sieht den exakt, der Code im Assembler aus, den Du ersetzt?
Und wie exakt ersetzt du ihn?

Reply to WinApi hooking führt zum "Buffer Overrun!", hilfe! on Wed, 12 Mar 2008 16:41:15 GMT

T0bi — Wed, 12 Mar 2008 16:41:15 GMT

Hier noch mal ein Bild hoffe es ist alles zu sehen.

http://www.pictureupload.de/originals/pictures/120308174835_Unbenannt.JPG

Doch mir ich gerade da fehlt noch ein Jmp zurück, doch das ist im moment nicht das Problem.

Reply to WinApi hooking führt zum "Buffer Overrun!", hilfe! on Wed, 12 Mar 2008 17:44:31 GMT

dumm — Wed, 12 Mar 2008 17:44:31 GMT

was sind eigentlich hooks ??????

Reply to WinApi hooking führt zum "Buffer Overrun!", hilfe! on Wed, 12 Mar 2008 18:44:42 GMT

T0bi — Wed, 12 Mar 2008 18:44:42 GMT

Einmal hier
http://de.wikipedia.org/wiki/Captain_Hook

und dann evtl. noch mal hier
http://msdn2.microsoft.com/en-us/library/ms644959.aspx

Gruß Tobi.

Reply to WinApi hooking führt zum "Buffer Overrun!", hilfe! on Thu, 13 Mar 2008 07:10:00 GMT

Martin Richter — Thu, 13 Mar 2008 07:10:00 GMT

@ToBi: Was DU hier machst ist für mich ignorant und unfassbar.
Du versuchst mit den Mitteln eines Realschülers Mondraketen zu bauen!

Genau das hatte ich geahnt, was Du hier gebastelt hast.

Warum glaubst Du, dass nach dem umbiegen und dem einfügen eines JPs hinter dem JP weitere Code ausgeführt wird?

Du machst einen JP in Deinen HOOK! Von dort einen JP (EINEN JP!!!!!) in Deinen Code. Wie soll er denn zurückkommen.

Das wäre eine Lösung:
- JP in deinen neuen Code block
- CALL in Deinen Code.
- ausführen der geischerten Bytes (auf vollständigen op-codeist zu achten. Nicht alle 5 Byte Kombinationen sind plausibel
- JP zurück hinter Deinen 1. JP

PS: Ich werde Dir nicht mehr helfen...

Reply to WinApi hooking führt zum "Buffer Overrun!", hilfe! on Thu, 13 Mar 2008 11:18:59 GMT

T0bi — Thu, 13 Mar 2008 11:18:59 GMT

Hae, aber das tue ich doch da oben( sprich im Bild ), ich mache einen Jump zu meiner Codestelle, ok und hier mach ich nen Jump, aber wenn ich nen Call drauß mache ist es doch genau wie in deiner Anleitung, bis auf das ich noch ein Sprung zurück zum Anfang machen muss.

Reply to WinApi hooking führt zum "Buffer Overrun!", hilfe! on Thu, 13 Mar 2008 12:15:38 GMT

Jochen Kalmbach — Thu, 13 Mar 2008 12:15:38 GMT

WO springst Du da bitte zu 77D50510?
Und WO führst Du "move edi, edi", "push ebp" und "mov ebp,esp" aus?

Reply to WinApi hooking führt zum "Buffer Overrun!", hilfe! on Thu, 13 Mar 2008 12:42:28 GMT

T0bi — Thu, 13 Mar 2008 12:42:28 GMT

Ok, ich habe das jetzt nach Martins Anleitung gemacht und es geht auch ohne abrauchen und so, ABER die MessageBoxA wird trotzdem ausgeführt. Ich hab mir das im Debugger angesehen und es sieht irgendwie so aus als ob sich die MessageBox in der Funktion selbst nochmal aufruft?

Hier mal der Ausschnitt aus dem Debugger:

77D5050B U>- E9 F0FABC88             JMP     00920000
77D50510     833D 1C04D777 00        CMP     DWORD PTR DS:[77D7041C],0
77D50517     74 24                   JE      SHORT USER32.77D5053D
77D50519     64:A1 18000000          MOV     EAX,DWORD PTR FS:[18]
77D5051F     6A 00                   PUSH    0
77D50521     FF70 24                 PUSH    DWORD PTR DS:[EAX+24]
77D50524     68 F40AD777             PUSH    USER32.77D70AF4
77D50529     FF15 1812D177           CALL    DWORD PTR DS:[<&KERNEL32.InterlockedCompareExchange>]    ; kernel32.InterlockedCompareExchange
77D5052F     85C0                    TEST    EAX,EAX
77D50531     75 0A                   JNZ     SHORT USER32.77D5053D
77D50533     C705 F00AD777 01000000  MOV     DWORD PTR DS:[77D70AF0],1
77D5053D     6A 00                   PUSH    0
77D5053F     FF75 14                 PUSH    DWORD PTR SS:[EBP+14]
77D50542     FF75 10                 PUSH    DWORD PTR SS:[EBP+10]
77D50545     FF75 0C                 PUSH    DWORD PTR SS:[EBP+C]
77D50548     FF75 08                 PUSH    DWORD PTR SS:[EBP+8]
77D5054B     E8 2D000000             CALL    USER32.MessageBoxExA
77D50550     5D                      POP     EBP                                                      ; DivertIT.00401273
77D50551     C2 1000                 RETN    10
77D50554     90                      NOP
77D50555     90                      NOP
77D50556     90                      NOP
77D50557     90                      NOP
77D50558     90                      NOP
77D50559 U>  8BFF                    MOV     EDI,EDI
77D5055B     55                      PUSH    EBP
77D5055C     8BEC                    MOV     EBP,ESP
77D5055E     6A FF                   PUSH    -1
77D50560     FF75 18                 PUSH    DWORD PTR SS:[EBP+18]                                    ; DivertIT.00401130
77D50563     FF75 14                 PUSH    DWORD PTR SS:[EBP+14]
77D50566     FF75 10                 PUSH    DWORD PTR SS:[EBP+10]
77D50569     FF75 0C                 PUSH    DWORD PTR SS:[EBP+C]
77D5056C     FF75 08                 PUSH    DWORD PTR SS:[EBP+8]
77D5056F     E8 F1590100             CALL    USER32.MessageBoxTimeoutW
77D50574     5D                      POP     EBP                                                      ; DivertIT.00401273
77D50575     C2 1400                 RETN    14
77D50578     90                      NOP
77D50579     90                      NOP
77D5057A     90                      NOP
77D5057B     90                      NOP
77D5057C     90                      NOP
77D5057D U>  8BFF                    MOV     EDI,EDI
77D5057F     55                      PUSH    EBP
77D50580     8BEC                    MOV     EBP,ESP
77D50582     6A FF                   PUSH    -1
77D50584     FF75 18                 PUSH    DWORD PTR SS:[EBP+18]                                    ; DivertIT.00401130
77D50587     FF75 14                 PUSH    DWORD PTR SS:[EBP+14]
77D5058A     FF75 10                 PUSH    DWORD PTR SS:[EBP+10]
77D5058D     FF75 0C                 PUSH    DWORD PTR SS:[EBP+C]
77D50590     FF75 08                 PUSH    DWORD PTR SS:[EBP+8]
77D50593     E8 505A0100             CALL    USER32.MessageBoxTimeoutA
77D50598     5D                      POP     EBP                                                      ; DivertIT.00401273
77D50599     C2 1400                 RETN    14

Also Zeile 1 ist der Sprung zu meiner Codestelle. dann nach lande ich zurück in Zeile 2, und dann wird noch mal MessageBoxA aufgerufen? Die stelle ist dann aber nich gehookt, das verstehe ich nicht ganz?

Reply to WinApi hooking führt zum "Buffer Overrun!", hilfe! on Thu, 13 Mar 2008 16:22:07 GMT

dmesg — Thu, 13 Mar 2008 16:22:07 GMT

http://www.hackerboard.de/thread.php?threadid=36201&hilightuser=18020 << da hab ich detourhooking erklaert, dort befindet sich auch funktionierender Code

Reply to WinApi hooking führt zum "Buffer Overrun!", hilfe! on Thu, 13 Mar 2008 17:45:55 GMT

T0bi — Thu, 13 Mar 2008 17:45:55 GMT

Hm, mein funktioniert ja jetzt auch, meine Funktion wird ausgeführt, aber die eigentlich gehookte MessageBoxA kommt trotzdem, weil sie sich in sich lebst noch einmal aufruft?

EDIT:
Ich habe mir mal dein code angesehen und eigentlicch machst du das selbe wie ich nur das ich statt alles mit _asm zu schreiben mit WriteProcessMemory() gearbeitet habe, dass ist doch eigentlich nicht weiter schlimm oder?

Reply to WinApi hooking führt zum "Buffer Overrun!", hilfe! on Thu, 13 Mar 2008 18:16:36 GMT

[[global:guest]] — Thu, 13 Mar 2008 18:16:36 GMT

T0bi schrieb:

Also Zeile 1 ist der Sprung zu meiner Codestelle. dann nach lande ich zurück in Zeile 2, und dann wird noch mal MessageBoxA aufgerufen?

Nicht "noch mal" sondern "immer noch".

Die Funktion MessageBoxA ist simpel gesagt eine Adresse, die in Zeile 1 anfängt !!! (und bis incl. Zeile 19 geht).

Reply to WinApi hooking führt zum "Buffer Overrun!", hilfe! on Thu, 13 Mar 2008 18:34:22 GMT

T0bi — Thu, 13 Mar 2008 18:34:22 GMT

Hm und wie koennte ich das nun "richtig" hooken? so das die MsgBox nicht kommt? Bzw. was mich noch interessiert, ist das bei allen Api Funktionen so?

EDIT:
Müsste ich evtl. dann für jeden Funktion die ich evtl. hooken will im Debugger schaun wie groß die ist? und dann x Bytes dahinter springen? bzw zum return der funktion?