Про перехват API функции

Сейчас на форуме: Lohmaty, tyns777, cppasm (+7 невидимых)

Посл.ответ	Сообщение
TelFon Ранг: 0.4 (гость) Активность: 0=0 Статус: Участник	Создано: 02 марта 2018 17:07 · Личное сообщение · #1 Перехватываю функцию так Code: function ReplaceIATEntry(const OldProc, NewProc: FARPROC): Boolean; var ImportEntry: PImageImportDescriptor; Thunk: PImageThunkData; Protect: DWORD; ImageBase: Cardinal; DOSHeader: PImageDosHeader; NTHeader: PImageNtHeaders; begin Result := False; if OldProc = nil then Exit; if NewProc = nil then Exit; ImageBase := GetModuleHandle(nil); // Получаем адрес таблицы импорта DOSHeader := PImageDosHeader(ImageBase); NTHeader := PImageNtHeaders(DWORD(DOSHeader) + DWORD(DOSHeader^._lfanew)); ImportEntry := PImageImportDescriptor(DWORD(ImageBase) + DWORD(NTHeader^.OptionalHeader.DataDirectory[ IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress)); // Бежим по записям таблицы ... while ImportEntry^.Name <> 0 do begin Thunk := PImageThunkData(DWORD(ImageBase) + DWORD(ImportEntry^.FirstThunk)); // ... пока таблица не кончится ... while Pointer(Thunk^._function) <> nil do begin // ... или не найдем нужную нам запись. if Pointer(Thunk^._function) = OldProc then begin // Производим подмену if VirtualProtect(@Thunk^._function, SizeOf(DWORD), PAGE_EXECUTE_READWRITE, Protect) then try // Можно вот так... //Thunk^._function := DWORD(NewProc); // ... но лучше атомарно. InterlockedExchange(Integer(Thunk^._function), Integer(NewProc)); Result := True; finally VirtualProtect(@Thunk^._function, SizeOf(DWORD), Protect, Protect); FlushInstructionCache(GetCurrentProcess, @Thunk^._function, SizeOf(DWORD)); end; end else Inc(PAnsiChar(Thunk), SizeOf(TImageThunkData32)); end; ImportEntry := Pointer(Integer(ImportEntry) + SizeOf(TImageImportDescriptor)); end; end; var OrigAddr: Pointer = nil; function InterceptedHttpSendRequestW(hRequest: HINTERNET; lpszHeaders: PWideChar; dwHeadersLength: DWORD; lpOptional: Pointer; dwOptionalLength: DWORD): BOOL; stdcall; type TOrigHttpSendRequestW = function(hRequest: HINTERNET; lpszHeaders: PWideChar; dwHeadersLength: DWORD; lpOptional: Pointer; dwOptionalLength: DWORD): BOOL; stdcall; var S: AnsiString; NewHeaders:PWideChar; begin NewHeaders:= lpszHeaders; Result := TOrigHttpSendRequestW(OrigAddr)(hRequest, NewHeaders, length(NewHeaders), lpOptional, dwOptionalLength); end; procedure TForm1.Button2Click(Sender: TObject); begin HttpSendRequest(0,'',0,0,0); end; procedure TForm1.FormCreate(Sender: TObject); begin OrigAddr := GetProcAddress(GetModuleHandle('wininet.dll'), 'HttpSendRequestW'); ReplaceIATEntry(OrigAddr, @InterceptedHttpSendRequestW); end; При нажатии на кнопку - перехват работает норм. Но когда функция выполняется через TShockwaveFlash (там находится flash видеоплеер), функция не перехватывается. Как можно отловить эту функцию, которую вызывает плеер?

ksol Ранг: 102.0 (ветеран), 18thx Активность: 0.07↘0.02 Статус: Участник	Создано: 02 марта 2018 18:02 · Личное сообщение · #2 А, декомпилятор delphi вам не подходит?
TelFon Ранг: 0.4 (гость) Активность: 0=0 Статус: Участник	Создано: 02 марта 2018 18:10 · Личное сообщение · #3 Скажите пжлста... Как декомпилятор delphi может помочь?
SReg Ранг: 315.1 (мудрец), 631thx Активность: 0.3↗0.33 Статус: Модератор CrackLab	Создано: 02 марта 2018 18:33 · Личное сообщение · #4 TelFon а ты уверен что эта апи должна дергаться через таблицу импорта?
TelFon Ранг: 0.4 (гость) Активность: 0=0 Статус: Участник	Создано: 02 марта 2018 18:53 · Личное сообщение · #5 Есть такие подозрения. Если я убираю HttpSendRequest(0,'',0,0,0);, то функция HttpSendRequestW будет отсутствовать в импортах, а запрос все равно проходит. Прога загружает Flash32_25_0_0_171.ocx. Но там отсутствует эта функция. Я начинаю подозревать что его вызывает библиотека, или эта же .ocx. Помогите разобраться.
SReg Ранг: 315.1 (мудрец), 631thx Активность: 0.3↗0.33 Статус: Модератор CrackLab	Создано: 02 марта 2018 19:24 · Личное сообщение · #6 не нужно тебе патчить иат, возьми апи монитор для начала, узнай какие апи тебе надо хукнуть. а потом написать нормальный код, чтоб кровь с глаз не шла и он работал, либо взять готовый двиг для перехвата коих полно
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 03 марта 2018 02:51 · Поправил: ClockMan · Личное сообщение · #7 Code: // Производим подмену if VirtualProtect(@Thunk^._function, SizeOf(DWORD), еслиб так просто всё было сделай обычный jmp в айпишке, или через железку сделай ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
BlackCode Ранг: 71.5 (постоянный), 95thx Активность: 0.1↗0.38 Статус: Участник	Создано: 03 марта 2018 09:20 · Личное сообщение · #8 ClockMan пишет: сделай обычный jmp в айпишке Или лучше прыжок через стек Code: push address ret Так высчитывать jmp не надо
TelFon Ранг: 0.4 (гость) Активность: 0=0 Статус: Участник	Создано: 03 марта 2018 11:52 · Личное сообщение · #9 ClockMan пишет: сделай обычный jmp в айпишке, или через железку сделай BlackCode пишет: Или лучше прыжок через стек Можно по подробнее. Может наглядный пример есть?
BlackCode Ранг: 71.5 (постоянный), 95thx Активность: 0.1↗0.38 Статус: Участник	Создано: 03 марта 2018 12:27 · Личное сообщение · #10 TelFon пишет: Можно по подробнее. Может наглядный пример есть? Code: SetApiFixedHookGlobal proto :dword,:dword,:dword .code SetApiFixedHookGlobal proc uses ebx ecx edx esi edi lpszModuleName,lpszApiName,lpNewProc local OldProtect:dword local hModule:dword mov hModule,FUNC(GetModuleHandle,lpszModuleName) .if hModule == 0 mov hModule,FUNC(LoadLibrary,lpszModuleName) .if hModule == 0 ret .endif .endif mov ebx,FUNC(GetProcAddress,hModule,lpszApiName) .if ebx == 0 ret .endif invoke VirtualProtect,ebx,6,PAGE_READWRITE,addr OldProtect mov byte ptr[ebx],68h mov eax,lpNewProc mov dword ptr[ebx+1],eax mov byte ptr[ebx+1+4],0C3h invoke VirtualProtect,ebx,6,OldProtect,addr OldProtect ret SetApiFixedHookGlobal endp
DenCoder Ранг: 324.3 (мудрец), 222thx Активность: 0.48↘0.37 Статус: Участник	Создано: 04 марта 2018 00:47 · Личное сообщение · #11 BlackCode А исходные 6 байт перехватываемой функи кто восстанавливать будет? не всегда там mov edi, edi push ebp mob ebp, esp И вместо 6 байт, 5 вполне хватило бы - jmp lpNewProc - (FUNC(GetProcAddress,hModule,lpszApiName) + 5) ----- IZ.RU
BlackCode Ранг: 71.5 (постоянный), 95thx Активность: 0.1↗0.38 Статус: Участник	Создано: 04 марта 2018 07:10 · Личное сообщение · #12 DenCoder пишет: А исходные 6 байт перехватываемой функи кто восстанавливать будет? Волшебное слово "Fixed" в названии функции "SetApiFixedHookGlobal" говорит о фиксированном хуке, который ставится один раз и присутствует постоянно, до завершения процесса. DenCoder пишет: И вместо 6 байт, 5 вполне хватило бы - jmp lpNewProc - (FUNC(GetProcAddress,hModule,lpszApiName) + 5) Это моя реализация и я так захотел.
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 08 марта 2018 13:20 · Поправил: difexacaw · Личное сообщение · #13 TelFon Вы долго будите разбираться в этом, тема заезжена до дыр". Для корректного изменения кода вам нужен будет морфер(конструктор). Который пересобирает код в буфер, а сама модификация кода должна происходить атомарно(cmpxchg). Никаким иным образом данная задача не решается, увы. Тем более на 64, где релатив адресация.) ps: дельфи не лучший яп, он считается унылым говном и не просто так. ----- vx

Для печати