Непонятное я название темы придумал конечно...
Вобщем проблема такая:
Есть лоадер и dll.
dll записана в виде массива байтов внутрь лоадера. Загружается это безобразие через WPM.
Короче говоря: загрузка есть, но нету hModule разумеется.
А мне надо брать что-то, что может сообщить моей dll "аналог этого hModule"
Дело в том что я записывал патч через GetModuleFileName, сейчас это неработает.
Также есть проблема с хуками. GetModuleHandle(NULL) не берёт у меня приложение которое я хукаю.
Что мне не годится - чтение registry.. Если есть соображения на этот счёт просьба отписаться.

| Сообщение посчитали полезным:

void *GetHmodule() { return (void*)((size_t)&GetHmodule)&~0x0ffff); }

| Сообщение посчитали полезным:

Troll
кроме непонятного названия темы, ты еще ее и непонятно описал проблему.
Что такое WPM?
Из того, что я понял: ты дллку загружаешь в ручную, т.е. без Loadlibrary. Если хочешь, что б заработали функции с hModule внеси инфу о своей dll'ке в PEB.

| Сообщение посчитали полезным:

Бред какой-то и нифига не понятно, что тебе надо.
hModule численно равен стартовому адресу загрузки модуля.
Остальное вообще не понял, что надо. Если тебе нужно просто вызвать дллмайн, то можно её передать начальный адрес загрузки модуля. если хочеш, чтобы с этой длл работали виндовые ф-ии - придётся повозиться.

add Опередили

| Сообщение посчитали полезным:

Да, загружаю вручную. Нет, нельзя мне трогать PEB.. Мне его как-раз таки необходимо было очищать.
DllMain вызывается, здесь нет проблем. Я имею ввиду что.. Ай, вот внизу приведу что мне необходимо.
Вот-
GetModuleFileName(hinstDLL,MyHackDirectory,255);
Это раз. Тоесть мне нужно как-то просто получить патч. Как я сказал чтение регистра непоходит.
Несрабатывает хук приложения с использованием GetModuleHandle... нету базы.
Просто, как я могу это сделать, без hModule моей dll... Возможные варианты




| Сообщение посчитали полезным:

GetModuleFileName как раз и берет путь из PEB.LdrData, поэтому не работает для твоего модуля. Пиши подробнее.

Alexey Suda-Chen пишет:
void *GetHmodule() { return (void*)((size_t)&GetHmodule)&~0x0ffff); }
В солидных продуктах можно применить и правильный метод www.google.com/search?q=__ImageBase

| Сообщение посчитали полезным:

Troll, можно взять за hModule любое значение, например 0BADC0DEh, и в хуке GetModuleFileName проверять этот параметр, если он 0BADC0DEh, то возврящать то что надо. Если нет, то выполнять оригинальный GetModuleFileName

| Сообщение посчитали полезным:

UsAr непонял..
Да мне лишь бы как нибудь передать от лоадера патч.. надо уже в DllMain'е его прочитать. Слышал его переадают как третий аргумент lpReserved.
Наверное я однако неверно выражаюсь насчёт этого hModule.. Просто у меня были хуки которые требовали свой модуль, но я их сменил, так что мне надо только патч.

| Сообщение посчитали полезным:

Troll пишет:
Загружается это безобразие через WPM.
Кто-нибудь знает еще кроме ТопикСтартера, что это за такой за WPM? – а то он упорно молчит и игнорирует вопросы общественности
seeq пишет:
Что такое WPM?
ужаснах как тоже стало интересно, плз кто знает, объясните или дайте линк напочитать про этот WPM?

| Сообщение посчитали полезным:

WriteProcessMemory Всё же понятно..
Создаётся образ dll, в котором восстанавливаются релоки, импорт, далее это проецируется на процесс, с вызовом DllMain и DLL_PROCESS_ATTACH

| Сообщение посчитали полезным:

Troll
гы, лольная тема! короче, вот что тебе написал UsAr мне понятно, а что ты пишешь хз что это за такое вообще за буквы
проще говоря - возьми эту длл засунь в ресурсы этого лоадера, потом скинь на диск в виде
путь_имя_dll = GetTempPath + lstrcat (…,имя_dll); // путь к длл - типа постоянная строковая константа
LoadResource_dll(FindResource+LoadResource+LockResource+SizeofResource +CreateFile(путь_имя_dll)+WriteFile+CloseHandle); // так делают все кому надо чтобы длл находилась в теле *.exe
И потом когда требуется патч в любом месте вызывай GetTempPath + lstrcat (…,имя_dll);// и при удалении тоже
Если на диск скидывать нельзя, тогда пробуй как написал UsAr, по-другому
S_T_A_S_ пишет:
Пиши подробнее.
А лучше показывай код или еще лучше прицепи аттач со свои лоадером+ключи от дома

гыгы, можно еще тупо в DllMain перебрать/поискать и сравнить имя этого лоадера с запущенными процессами, если совпало копипастим путь к этому лоадеру, ну как-то так…

| Сообщение посчитали полезным:

Troll, ну тогда в томже процессе выделяется память, куда записывается путь.
И передавать указатель на этот путь через какое-нибудь неиспользуемое поле в TEB'e/PEB'e. Например есть TEB.Unknown по смещению F88h, вроде как никто их не использует.

| Сообщение посчитали полезным:

На диск скидывать нельзя. Я уже делал через CreateFile-WriteFile, этот метод неподходит. И в ресурсах мою длл тоже нельзя держать.

Я уже нашёл как это сделать.
Передаю при загрузке длл в аргумент lpReserved свою структуру. Параметры которой беру от лоадера.
И дальше всё просто.
GetFullPathName(lpReserved->path,MAX_PATH,buffer,&strip);

| Сообщение посчитали полезным:

В инжектируемой dll можно объявить переменные как экспортируемые, найти их адрес перед инжектом, и записать туда что нужно. Другой вариант - ехе с релоками инжектирует сам себя, при этом все уже инициализированные переменные будут скопированы (только аккуратно с хендлами и поинтерами)

| Сообщение посчитали полезным:

Верно. Только я уже вобщем-то справился способом описанным выше..
Извините ребята, конечно название темы совсем не подходящее было выбрано, дело в том что я использовал хуки, которые требовали мой модуль, но метод я сменил, так что вобщем-то проблем больше нет...

| Сообщение посчитали полезным: