Reply to API-Aufrufe abfangen on Sun, 23 Jan 2005 12:24:23 GMT

DjFishbone — Sun, 23 Jan 2005 12:24:23 GMT

Kann man einen API-Aufruf abfangen, d.h. den Zeiger auf eine Prozedur (beipielsweise OpenFile) auf eine andere legen, um Aufrufe zu prokollieren. Dies wäre sinnvoll, wenn man wissen will, welche Dateien bei einer Installation erstellt werden usw.

Reply to API-Aufrufe abfangen on Sun, 23 Jan 2005 19:41:16 GMT

flenders — Sun, 23 Jan 2005 19:41:16 GMT

In "Windows Programmierung für Experten" von Jeffrey Richters wird soetwas ähnliches für den MessageBox-Aufruf gemacht. Dort wird dann auch der betreffende Code für das Hooking in eine Klasse gekapselt - der Code, wenn du alle Fälle deinen Hook zu umgehen auch abfangen möchtest ist aber schon etwas umfangreicher

Reply to API-Aufrufe abfangen on Wed, 02 Feb 2005 21:29:08 GMT

DjFishbone — Wed, 02 Feb 2005 21:29:08 GMT

Ich wäre ja auch schon zufrieden, wenn ich die Aufrufe protokollieren kann!

-------------------------------------------------------------------------------
Code zum abfangen:
Direkt einen Jump Befehl zur neuen Funktion einsetzen, gibt aber eine "Access Violation"! Warum

Hier die DLL zum Abfangen:

#include 
#include 

typedef UINT (CALLBACK* REGCREATEKEYTYPE)(HKEY, LPCTSTR, PHKEY);

BOOL InterceptAPI(HMODULE hLocalModule,  const char* c_szDllName, const char* c_szApiName, DWORD dwReplaced);
LONG RegCreateKeyIC(HKEY hKey, LPCTSTR lpSubKey, PHKEY phkResult);
bool WINAPI DllMain(HINSTANCE hInst, DWORD dwReason, LPVOID reserved);

bool WINAPI DllMain(HINSTANCE hInst, DWORD dwReason, LPVOID reserved) {
	MessageBox(0, "entried dll", "InterceptAPI", 0);
    if (dwReason == DLL_PROCESS_ATTACH) {
		LoadLibrary("advapi32IC.dll");
        InterceptAPI(hInst, "advapi32.dll", "RegCreateKey", (DWORD) RegCreateKeyIC);
    }
    else if (dwReason == DLL_PROCESS_DETACH) {    
        MessageBox(0, "DLL_PROCESS_DETACH", "InterceptAPI", 0);
    }
    return true;
}

BOOL InterceptAPI(HMODULE hLocalModule,  const char* c_szDllName, const char* c_szApiName, DWORD dwReplaced) {
    DWORD dwOldProtect;
    DWORD dwAddressToIntercept = (DWORD)GetProcAddress(
            GetModuleHandle((char*)c_szDllName), (char*)c_szApiName);
    BYTE *pbTargetCode = (BYTE *) dwAddressToIntercept;
    BYTE *pbReplaced = (BYTE *) dwReplaced;

    VirtualProtect((void *) dwAddressToIntercept, 5, PAGE_WRITECOPY, &dwOldProtect);
    *pbTargetCode++ = 0xE9;        // jump rel32
    *((signed int *)(pbTargetCode)) = pbReplaced - (pbTargetCode +4);
    VirtualProtect((void *) dwAddressToIntercept, 5, PAGE_EXECUTE, &dwOldProtect);

    FlushInstructionCache(GetCurrentProcess(), NULL, NULL);
    return true;
}

/* Ersetzende Prozeduren */

LONG RegCreateKeyIC(HKEY hKey, LPCTSTR lpSubKey, PHKEY phkResult) {
	REGCREATEKEYTYPE pFunc = (REGCREATEKEYTYPE) GetProcAddress(GetModuleHandle("advapi32IC.dll"), "RegCreateKey");

	MessageBox(0, "Prozedur wurde aufgerufen", "RegCreateKey", 0);
	return pFunc(hKey, lpSubKey, phkResult);
}

Hier das simple Aufrufprogramm:

#include 
#include 

int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd) {
	PHKEY phkResult;	
	HINSTANCE hInstLib = LoadLibrary("C:\\RegIntercept.dll");
	DWORD dwLastError = GetLastError();
	if(!(GetModuleHandle("RegIntercept.dll"))) {
		MessageBox(0, "RegIntercept.dll wurde nicht im Speicher gefunden", "Fehler", MB_ICONWARNING);
	}
	//RegCreateKey(HKEY_CURRENT_USER, "Uli\\EINS", phkResult);

	return 0;
}

Reply to API-Aufrufe abfangen on Wed, 02 Feb 2005 21:55:49 GMT

net 0 — Wed, 02 Feb 2005 21:55:49 GMT

guckt ihr: http://research.microsoft.com/sn/detours/