4. probleme beim api-hooking

probleme beim api-hooking

  • ?

    hi,

    ne, ntdll.dll bleibt unangetastet.
    ich hooke jeden prozess mit ner kombination aus WriteProcessMemory/CreateRemoteThread (ohne dll).

    ciao, neonew

    0
  • S

    Also du schreibst den Assembler Code direkt in die Anwendung? Vielleicht gibt es dort einen Fehler wenn der Code an einer anderen Stelle gemapped wird?

    0
  • ?

    hi,

    nee ich benutz keinen assembler und ich glaube nicht dass da der fehler liegt.

    pseudo:

int WINAPI hookProcess(void *)
{
  // überschreibe iat
}

// main:
WriteProcessMemory(process, memoryInOtherProcess, hookProcess, 4096 /*size*/);
CreateRemoteThread(memoryInOtherProcess, NULL);

    ich weiß die parameter kommen nich wirklich hin aber ich denke man ahnt wie es gemacht ist.

    ciao, neonew

    0
  • S

    Also, dass das so überhaupt funktionert wunder mich. Da hookProcess nicht genau an der selben stelle im Speicher, bei deiner Anwendung und bei der RemoteAnwendung ist, ist eigentlich der Normalfall. Dann stimmen die Adresse nicht mehr. Alleine schon ein if würd nicht mehr funktionieren.

    cya

    0
  • M

    if is ein relativ jump 😉

    0
  • S

    kommt auf den compiler an, mache jumps werden als absolut gemacht...

    naja, des ist noch das kleinst problem, alleine schon die ganzen imports mittels IAT sind an anderer Stelle.

    0
  • M

    imports sind kein problem, du kannst ja dem injected code funktionszeiger mitgeben....

    0
  • S

    Mart schrieb:

    imports sind kein problem, du kannst ja dem injected code funktionszeiger mitgeben....

    Dies trifft auf kleine Anwendung zu. Aber wenn man svchost.exe, services.exe anschaut hat man dlls die nicht mehr an ihrere Standardbaseadresse sind, wenn man das berücksichtige gehts im Grunde genommen. Wobei manchen Funktionen in kernel32.dll auf TLS zurückgreifen, der Thread/Prozess abhängig ist - sollte jedoch kaum vorkommen

    Aber wie gesagt bei sowas wär ich extrem vorsichtig, entweder DLL oder direkt Assembler sollte dann in jedem Fall gehn

    0
  • ?

    hi,

    hmm ne hab lange getestet etc, funktioniert ja auch vom prinzip (hab die beschreibung der methode danach auch auf ner page im netz gefunden), ich glaube auch nicht das in der methode an sich ein fehler liegt...

    ciao, neonew

    0
  • S

    Schon mal versuchen ein __asm int 3; oder DebugBreak(); reinzumachen und dann den Code debuggen? Evtl. findest du so den Fehler, wenn er in der Funktion ist.

    0
Anmelden zum Antworten