Dll Injection; Funktion callen von Außen; Bestehenden Socket nutzen

Reply to Dll Injection; Funktion callen von Außen; Bestehenden Socket nutzen on Sat, 23 May 2009 17:17:02 GMT

Polko — Sat, 23 May 2009 17:17:02 GMT

Hallo.

Das Ziel ist eine Art simpler Packet Sniffer wie WPE.

Mittels DLL Injection und einem Detour werden die Winsock Funktionen send, recv, ... gedetourt. So können die Daten ausgelesen werden. Das Funktioniert auch.

Das eigentliche Problem: Eine andere Applikation soll von Außen die gesnifften Pakete so oft wie möglich senden können.

Kann man einfach die Socket ID (die man durch Detour ja leicht auslesen kann) an die außenstehend Applikation übergeben und mit ihr die Daten senden, oder muss man selbst eine neue Vebindung aufbauen?

Wenn das nicht geht, wie könnte ich von Außen eine Funktion in der schon injezierten DLL aufrufen, sodass sie im Programm ausgeführt wird, in das die DLL injeziert wurde (also eine Funktion zum Senden bereits in der DLL die dann die bestehende Verbindung und Socket ID nutzt)?

Reply to Dll Injection; Funktion callen von Außen; Bestehenden Socket nutzen on Sat, 23 May 2009 17:50:56 GMT

noele — Sat, 23 May 2009 17:50:56 GMT

deine "socket id" ist ein handle und die sind bekannterweise prozessbezogen, also geht das nicht.

Reply to Dll Injection; Funktion callen von Außen; Bestehenden Socket nutzen on Sat, 23 May 2009 17:52:08 GMT

socket sharer — Sat, 23 May 2009 17:52:08 GMT

The WSADuplicateSocket function is used to enable socket sharing between processes.

Reply to Dll Injection; Funktion callen von Außen; Bestehenden Socket nutzen on Sat, 23 May 2009 18:03:29 GMT

Polko — Sat, 23 May 2009 18:03:29 GMT

Danke, die Funktion kannte ich nicht.

Ich denke aber, der einfachere Weg wäre die Funktion in die Dll zu packen und vom anderen Programm aus zu callen.

Mir fällt nur nichts ein wie.

Reply to Dll Injection; Funktion callen von Außen; Bestehenden Socket nutzen on Sat, 23 May 2009 18:10:31 GMT

Mr.Affe — Sat, 23 May 2009 18:10:31 GMT

events

Reply to Dll Injection; Funktion callen von Außen; Bestehenden Socket nutzen on Tue, 26 May 2009 14:20:10 GMT

arnold72 — Tue, 26 May 2009 14:20:10 GMT

du könntest das auch durch inter process communication lösen, konkret zb mit named pipes..

Reply to Dll Injection; Funktion callen von Außen; Bestehenden Socket nutzen on Wed, 27 May 2009 17:05:58 GMT

Polko — Wed, 27 May 2009 17:05:58 GMT

was sind denn named pipes o.O

Reply to Dll Injection; Funktion callen von Außen; Bestehenden Socket nutzen on Thu, 28 May 2009 07:00:17 GMT

Piper — Thu, 28 May 2009 07:00:17 GMT

http://msdn.microsoft.com/en-us/library/aa365590.aspx

Reply to Dll Injection; Funktion callen von Außen; Bestehenden Socket nutzen on Thu, 28 May 2009 09:16:00 GMT

arnold72 — Thu, 28 May 2009 09:16:00 GMT

also ich hab schon mal so ein ähnliches projekt geschrieben..

du hast halt dein programm, in dem machst du eine named pipe auf.

dann hast du die dll die injiziert wird. die gesnifften daten schickst du über die pipe an dein programm, und das kann die daten sooft du willst iwo hinschicken.. ^^

du kannst in der dll auch die senden funktion blockieren, die daten in deinem programm modifizieren, und dann die veränderten daten versenden..

Reply to Dll Injection; Funktion callen von Außen; Bestehenden Socket nutzen on Fri, 29 May 2009 07:56:44 GMT

Polko — Fri, 29 May 2009 07:56:44 GMT

danke für die antworten

Reply to Dll Injection; Funktion callen von Außen; Bestehenden Socket nutzen on Fri, 29 May 2009 10:29:09 GMT

Polko — Fri, 29 May 2009 10:29:09 GMT

aber ich hab noch nen problem ... und zwar wie bekomme ich in meinem externen programm die WSAPROTOCOL_INFO in die WSASocket() funktion wenn ich in der dll WSADuplicateSocket() aufrufe??

Reply to Dll Injection; Funktion callen von Außen; Bestehenden Socket nutzen on Fri, 29 May 2009 10:34:08 GMT

Polko — Fri, 29 May 2009 10:34:08 GMT

also in WSADuplicateSocket() speichert die WSAPROTOCOL_INFO ja in nem buffer .. wie bekomm ich den in mein externes programm? ^^
danke nochmal im voraus