4. IAT Hook fest in .exe schreiben - möglich?

IAT Hook fest in .exe schreiben - möglich?

  • ?

    Hallo,

    danke für deine Antwort, das hab ich schon befürchtet 😕

    Wärs denn dann praktikabel den IAT über eine injectede Funktion (auf die ich dann den EntryPoint des Programms setze) beim Ausführen der .exe zu überschreiben?

    Theoretisch ists möglich, aber auch praktikabel?

    mfg

    0
  • Mod

    Ich benatworte aus Prinzip keine Fragen zu Injektion von DLLs.

    0
  • J

    Was willst Du denn machen?

    0
  • ?

    Einem Programm verbieten mich mit MessageBox() zu nerven 🙂
    Ich seh aber gerade das das wohl verschlüsselt ist, Texe findet jedenfalls nicht einen einzigen IAT Eintrag (auch nicht LoadLibrary())?!

    @Martin Richter: Kann ich verstehen, dazu brauch ich aber auch keine Fragen stellen 🙂
    Mir ist klar das es euch darum geht das man API Hooking für böse Sachen verwenden kann..
    Ich kenn mich auf dem Gebiet aber schon gut genug aus um sowas selber hinzubekommen, nur hab ichs da mit einem Inline Hook gelöst, weil der auch ohne DLL Injection auskommt.
    Einfach 2 Funktionen in den Prozess geschrieben, eine davon ausgeführt die dann im laufenden Programm den Hook gesetzt hat.

    Wenn ihr mir nicht glauben solltet lasst es mich wissen und ich poste Code.

    Was ich damit sagen will: Nein ich hab nicht vor irgendwas illegales zu coden, das würde ich auch alleine hinbekommen.

    Ich will lediglich MessageBox() deaktivieren aber das scheint hier über die IAT eh nicht möglich zu sein -.-

    Und das ich die DLL über die Import Table selber injecten kann und dann aus der DLL heraus die IAT überschreiben kann ist mir schon selber klar, wie gesagt, dazu stell ich ja gar keine fragen

    Übrigens, vielen Dank euch beiden, ihr habt mir schon sehr oft geholfen 🙂
    Ich hab nur immer andere Nicks 😉

    mfg

    0
  • J

    Um welche Message Boxen handelt es sich denn? Einige bekommst Du auch mit "SetErrorMode" weg 😉

    0
  • ?

    Um eine Beschwerde das es eine bestimmte Datei nicht gibt..
    Ich werd jetzt einfach ein Programm schreiben das das andere Programm aufruft, aber nur wenns die Datei gibt 😉

    Nochmal vielen Dank für die Hilfe

    mfg

    0
  • I

    AnotherStupideCoder schrieb:

    Um eine Beschwerde das es eine bestimmte Datei nicht gibt..
    Ich werd jetzt einfach ein Programm schreiben das das andere Programm aufruft, aber nur wenns die Datei gibt 😉

    Nochmal vielen Dank für die Hilfe

    mfg

    Patch doch einfach den Jump der zum MessageBox()-Call führt.

    Wird doch sicher irgendwo im Code stehen

    if(datei_da)
    machWeiter();
    else
    NervBox();

    Sollte auch leicht zu finden sein, einfach alle Codestellen raussuchen die MessageBoxA bzw W referenzieren.

    0
  • ?

    Hallo,

    wollte ich ursprünglich machen aber wei gesagt, das Programm scheint mir gut verschlüsselt zu sein 🙂
    Da findet sich kein einziger API Call (nichtmal in der IAT)

    mfg

    0
  • I

    AnotherStupideCoder schrieb:

    Hallo,

    wollte ich ursprünglich machen aber wei gesagt, das Programm scheint mir gut verschlüsselt zu sein 🙂
    Da findet sich kein einziger API Call (nichtmal in der IAT)

    mfg

    Ohne API-Call gehts nicht, lass mal dumpbin drüberlaufen 😉

    0
  • ?

    PEiD verrät dir schon mal (in den meisten Fällen) die Art der Verschlüsselung/Packers. Danach mal etwas googlen - vieleicht hast du ja Glück, und findest ein passendes Script für OllyDbg(OllyScript).

    0
Anmelden zum Antworten