| Сейчас на форуме: asfa, bartolomeo (+6 невидимых) |
 |
eXeL@B —› Вопросы новичков —› Как установить хук в OllyDbg на функцию API? |
| Посл.ответ | Сообщение |
|
|
Создано: 13 июля 2012 13:44 · Личное сообщение · #1 Возник такой вопрос,и что-то я не догоняю - для этого нужен специальный скрипт? Или для установки хуков надо писать собственную библиотеку на Делфи? Мне нужно перехватить функцию CreateFileA  |
|
|
Создано: 13 июля 2012 13:53 · Поправил: Infernus · Личное сообщение · #2 Открываешь ExecutableModules, ищешь kernel32.dll, открываешь имена и находишь CreateFileA(W), ставишь на нее бряк (тот, который тебе нужен). Если я, конечно, правильно понял, что ты хочешь. 
|
|
|
Создано: 13 июля 2012 13:56 · Личное сообщение · #3 Infernus Не путай хук и бряк,бряк можно поставить командой bp CreateFileA |
|
|
Создано: 13 июля 2012 13:56 · Личное сообщение · #4 Ну началось... | Сообщение посчитали полезным: Vovan666, SReg, Ra1n0, Coderess, Svinovodoeb, Dart Sergius |
|
|
Создано: 13 июля 2012 14:16 · Поправил: Ra1n0 · Личное сообщение · #5 а вообще вопрос не совсем корректный... |
|
|
Создано: 13 июля 2012 15:31 · Поправил: Gideon Vi · Личное сообщение · #6 Svinovod пишет: Не путай хук и бряк ну а если понимаешь разницу между хуком и бряком, то какого ж рожна пытаешься использовать для этого дебагер? Вместо того, чтобы плодить подставные логины, лучше б теорию шел читать. |
|
|
Создано: 13 июля 2012 15:42 · Поправил: inffo · Личное сообщение · #7 Уважаемый Свиноводушка ведь в мире столько всего прекрасного, ну зачем она вам эта функция (конъюнкция/дизъюнкция) CreateFileA ну поймаете ее и что? Ее на хлеб не намажешь и солью не посыплешь. В общем не надо за ней гоняться.  Ну а если серьезно то вот |
|
|
Создано: 13 июля 2012 15:55 · Личное сообщение · #8 Svinovod Смотри Immunity, а там в справке ..\Immunity Inc\Immunity Debugger\Documentation\Ref\toc-Libs.libhook-module.html и наркомань на здоровье. |
|
|
Создано: 13 июля 2012 15:59 · Личное сообщение · #9 inffo пишет: ну зачем она вам эта функция файло он хочет из sffs дергать |
|
|
Создано: 13 июля 2012 16:06 · Личное сообщение · #10 |
|
|
Создано: 13 июля 2012 17:14 · Личное сообщение · #11 |
|
|
Создано: 13 июля 2012 17:39 · Личное сообщение · #12 
----- 127.0.0.1, sweet 127.0.0.1 | Сообщение посчитали полезным: Svinovodoeb, schokk_m4ks1k, _ruzmaz_, SReg, Dart Sergius, HandMill, Valemox |
|
|
Создано: 13 июля 2012 17:46 · Поправил: Модератор · Личное сообщение · #13 Уважаемые школьники NikolayD ,Nightshade, OKOB, Svinovodoeb - прошу вас срать в другом месте,и оставьте мои темы в покое. Вопросы которые здесь обсуждаются,не являются нарушением правил форума, поэтому идите отсюда ...  inffo Universal Hooker это плагин для Олли? |
|
|
Создано: 13 июля 2012 17:48 · Поправил: Svinovodoeb · Личное сообщение · #14 Svinovod пишет: Уважаемые школьники Школьник - это ты  Причем двоечник  P.S. Сначала научись ломать интернет, а потом уже за старфорс берись... 
|
|
|
Создано: 13 июля 2012 18:01 · Поправил: Svinovod · Личное сообщение · #15 Gideon Vi пишет: файло он хочет из sffs дергать Совершенно верно.Старфорс у меня на файле снят,поэтому я буду использовать хук на API как писали в соседней теме. Только чего делать после того как похучится CreateFileA, куда вставлять команду CopyFile чтобы выдернуть всё на диск? Этот вопрос нигде не отражен на форуме Ставь хук на CreateFile, перехватывай хендлы и читай контент (правда с новыми версиями откровенно размер через GetFileSize не получишь, но SetFilePointer на начало и читай в бОльший буфер - а потом проверь сколько считалось). Это справедливо, если ты имеешь дело с sffs. Если это аналог оверлея (как в Protect.dll в играх) - смотри последние 8 байт (28 бит под размер, 4 старших под ID) - первые 4 байт из восьми - пакованый размер, вторые - распакованый (так было и вроде осталось без изменений). СФ имеет драйвер-фильтр который обрабатывает сам IRP и дальше не передает - но для программы он должен оставаться прозрачным, поэтому ты можешь скопировать контент в память через ReadFile или через CreateFileMapping. Или просто открытые хендлы процесса юзай. | Сообщение посчитали полезным: Nachalo |
|
|
Создано: 13 июля 2012 19:57 · Поправил: inffo · Личное сообщение · #16 Svinovod а как ты думаешь, что означает это предложение:  "The version available at this web page is implemented as an OllyDbg plugin, so the hooking of functions is taken care by the OllyDbg Debugger (using software breakpoints)." add: Чет по никнеймам не понятно, либо ты нашел сподвижников, либо ты общаешься сам с собой
|
|
|
Создано: 13 июля 2012 20:09 · Личное сообщение · #17 следующие 2 вопроса будут про перехват хэндлов и чтение контента? |
|
|
Создано: 13 июля 2012 21:00 · Поправил: Svinovod · Личное сообщение · #18 Vovan666 пишет: следующие 2 вопроса будут про перехват хэндлов и чтение контента? Да мы ещё с хуками не разобрались. Крэкерское комьюнити не очень то жаждет помогать,больше гадить в этой теме Или это ненависть ко мне,или (что более вероятно) бояццо что разрабы Старфорса прочитают и изменят алгоритм формирования vfs SFFS ,тогда Оленеводам не сладко придется... p.s. Как понять относительный путь к контейнеру? Как его написать,перепробовал все варианты: .\Data\package.dat \Data\package.dat Data\package.dat ./Data/package.dat Data/package.dat /Data/package.dat |
|
|
Создано: 13 июля 2012 21:11 · Личное сообщение · #19 О господи, да сколько ж это может продолжаться-то? Уже через олли хукаем API функции, следующим этапом предлагаю через IDA Pro набирать текст, ну, а что - подстветка синтаксиса есть. По поводу перехватов. . Подробнее, полагаю, некуда. В двух словах. Делаешь dll для внедрения в процесс, в котором собираешься перехватывать свой CreateFile. Инжектишь её в процесс, в DllMain отрабатывает код, который устанавливает перехват либо сплайсингом, либо правкой таблиц импорта (лучше первое). Код перехватчика также располагаешь в своей библиотеке, в этом коде пиши, что хочешь - устанавливай SetFilePointer на начало, на конец, юзай ReadFile - всё, что тебе надо. И будет тебе счастье. Перехватичк такой пишется где-то за полчаса. Так что давай, Svinovod, удачи. ----- Stuck to the plan, always think that we would stand up, never ran. | Сообщение посчитали полезным: Svinovod, BabushkaCracker |
|
|
Создано: 13 июля 2012 21:36 · Личное сообщение · #20 На просторах сеть нашёл ещё такой вот extractor.exe (в аттаче).Он почему-то функцию CreateFile вообще не использует, в импорте нашёл только VirtualProtect и WriteFile. Идеальный вариант был бы себе такую прогу наклепать,чтобы вводить апкей туда и путь к контейнеру.  72a4_13.07.2012_EXELAB.rU.tgz - Extractor.exe
|
|
|
Создано: 13 июля 2012 22:15 · Личное сообщение · #21 Тебе уже 33 раза говорили, научись гуглом пользоваться, а потом уже вопросы здесь пиши. Про хуки в гугле овер 9000 ссылок. Интересно, ты и в жизни такой же "толковый", когда тебе прямо дают пинка, а ты снова бежишь обратно на поклон с не менее тривиальным вопросом? З.Ы. И заканчивай общаться сам с собой в своих топиках, выглядит как минимум глупо. | Сообщение посчитали полезным: BabushkaCracker |
|
eXeL@B —› Вопросы новичков —› Как установить хук в OllyDbg на функцию API? |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати