SetWindowsHookEx - DLL nicht in bereits laufende Prozesse injizierbar ?

Reply to SetWindowsHookEx - DLL nicht in bereits laufende Prozesse injizierbar ? on Mon, 01 Sep 2008 07:50:15 GMT

Xzibit_@loggedoff — Mon, 01 Sep 2008 07:50:15 GMT

Hallo Zusammen,

ich beschäftige mich zur Zeit mit DLL-Injection.
Laut MSDN versieht SetWindowsHookEx alle laufenden Threads des aktiven Desktops mit Hooks (also einer DLL, die ich im Aufruf angebe), wenn ich beim dwThreadID Parameter eine '0' angebe.

Ich habe das ausprobiert, jedoch werden nur Threads von neu gestarteten Programmen (also nach Aufruf der SetWindowsHookEx) mit der angegebenen DLL versehen. Ist das richtig so ?...

Mich wundert das nur, weil ich in einem Buch gelesen habe, dass alle BEREITS laufenden Threads mit Hooks versehen werden.
Wie ist das jetzt, wenn ich eine konkrete dwThreadID als letzten Parameter angebe ? Dann wird doch die DLL in den Prozess des jeweiligen Threads geladen, auch wenn der schon läuft, oder ? Sonst würde das doch keinen Sinn machen...

Weiterhin kann ich eine DLL ja auch über den Registrierungsschlüssel HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs automatisch in nachfolgende Prozesse laden lassen.

Das heißt aber nicht, dass dann die IAT-Einträge von anderen DLLs (die von der selben *.exe benötigt werden) schon vom Loader aufgelöst wurden, oder ?
D.h. ich bräuche evtl. so etwas wie eine Verzögerungsroutine, die wartet, bis die IAT-Einträge der anderen DLLs auf konkrete Adressen aufgelöst wurden und dann kann ich erst die Einträge modifizieren. Hat das hier schon mal jemand gemacht, der mir da Tipps geben könnte ?

Greetz
Xzi-bit @loggedoff

Reply to SetWindowsHookEx - DLL nicht in bereits laufende Prozesse injizierbar ? on Mon, 01 Sep 2008 08:25:31 GMT

Martin Richter — Mon, 01 Sep 2008 08:25:31 GMT

Von was für einem Hook redest Du?
1. Wenn ein Prozess keine Nachrichtenschleife hat wird auch kein GetMessage Hook injeziert werden.
2. Werden DLLs nicht in Threads injeziert, sondern in Prozesse, allerdings wird ein Hook nur Thread bezogen gesezt. Die DLL liegt aber eben im Prozess.
3. Die AppInit_DLLs werden zuerst geladen. Wenn Deine DllMain aufgerufen wird, dann ist diese inkl. Ihrer DLLs die sie verwendet entsprchend lauffähig. Das heißt nicht, dass andere DLls evtl. nicht noch geladen werden müssten. Du kannst theoretisch keine Aussage trefen, welche DLLs, die im Speicher liegen bereits initialisiert sind und welche nicht.
4. Wird AppInit_DLLs und seine Wirkungsweise hier beschrieben http://support.microsoft.com/kb/197571
5. Unter Vista wurde diese blödsinnige Funktion endlich dicht gemacht. Leider aber nicht ganz.
Du solltest Dir das zu Gemüte führen: http://blogs.msdn.com/oldnewthing/archive/2007/12/13/6648400.aspx

Reply to SetWindowsHookEx - DLL nicht in bereits laufende Prozesse injizierbar ? on Mon, 01 Sep 2008 09:43:47 GMT

T0bi — Mon, 01 Sep 2008 09:43:47 GMT

Ich hätte auch noch etwas Stuff für dich. Eine DLL mit CreateRemoteThread in einem fremden Prozess injecten:

// Erstmal brauchst du für die meisten Prozesse mehr DebugPrevilegien um
// das Prozess handeln zu bekommen
// Die folgende Funktion einfach am anfang deiner Application ausführen

// ***** Get more access *****
void EnableDebugPrivilege( ) {

	TOKEN_PRIVILEGES priv;
	HANDLE hThis, hToken;
	LUID luid;

	hThis = GetCurrentProcess();

	OpenProcessToken(hThis, TOKEN_ADJUST_PRIVILEGES, &hToken);

	LookupPrivilegeValue(0, "seDebugPrivilege", &luid);

	priv.PrivilegeCount = 1;
	priv.Privileges[0].Luid = luid;
	priv.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

	AdjustTokenPrivileges(hToken, false, &priv, 0, 0, 0); 
	CloseHandle(hToken);
	CloseHandle(hThis);
}

// Die folgende Funktion kannst du dazu verwenden um deine DLL in einen fremden
// Prozess zu jagen, dabei schreibst du mit WriteProcessMemory den Namen deiner
// DLL bzw. den kompletten Pfad in den fremden Prozessbereich und erstellst
// einen RemoteThread um sie mit LoadLibrary zu laden
// Schon is deine DLL drin

// ***** Load DLL in remote process *****
bool InjectDLL( DWORD dwPID, const char *szDLLName ) {

	HANDLE hProcess = OpenProcess( PROCESS_ALL_ACCESS, 0, dwPID );
	if( !hProcess ) {

		CloseHandle( hProcess );
		return false;
	}
	cout << " Process handle : " << hex << hProcess << endl;

	LPVOID pMemLib = VirtualAllocEx( hProcess, 0, strlen( szDLLName ), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE );
	if( pMemLib == 0 ) {

		CloseHandle( hProcess );
		return false;
	}
	cout << " Alloc memory   : 0x" << hex << (DWORD)pMemLib << " - 0x" << ( (DWORD)pMemLib + strlen( szDLLName ) ) << endl;

	LPVOID pLoadLib = GetProcAddress( GetModuleHandle( "Kernel32.dll" ), "LoadLibraryA" );

	if( ( WriteProcessMemory( hProcess, pMemLib, szDLLName, strlen( szDLLName ), 0 ) ) == 0 ) {

		CloseHandle( hProcess );
		return false;
	}

	HANDLE hThread = CreateRemoteThread( hProcess, 0, 0, (LPTHREAD_START_ROUTINE)pLoadLib, pMemLib, 0, 0 );
	if( !hThread ) {

		CloseHandle( hThread );
		CloseHandle( hProcess );
		return false;
	}

	CloseHandle( hThread );
	CloseHandle( hProcess );
	return true;
}

Achja eins noch, solltest du nur den Namen diene DLL angeben, müssen Injector und DLL im selben Verzeichniss liegen, wie auch die .exe des fremden Prozesses, wie es sich verhält wenn du den kompletten Pfad zur DLL übergibst hab ich noch nicht getestet.

Solltest du aber einfach nur vorhaben einen Keyboardhook Moushook, Messagehook zu basteln, kannst du ruhig bei SetWindowHookEx bleiben.

Greetz Tobi