люди добрые помогите!Задача такая нада при вызове определенной API передать управление моей проге.
Если у кого есть исходники на masm залейте куданить плизз.
зарание сенкс и извините за возможное повторение темы но в поиске я ниче нинашел!

| Сообщение посчитали полезным:

bitmaster
Почитай тут http://wasm.ru/publist.php?list=6 и тут http://wasm.ru/publist.php?list=21 .

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

bitmaster
Посмотри эту статью http://www.rsdn.ru/article/baseserv/IntercetionAPI.xml .Там,правда,на Cи,но не разберётся там только ленивый.

-----
the Power of Reversing team

| Сообщение посчитали полезным:

Держи и разбирайся.

aa77_08.05.2007_CRACKLAB.rU.tgz - Inject.rar

| Сообщение посчитали полезным:

а можно тоже самое на Делфях ?

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

mysterio
Дык,Ms-Rem же писал как раз на Дельфях:
Перехват API функций в Windows NT (часть 1). Основы перехвата. http://www.wasm.ru/article.php?article=apihook_1

-----
the Power of Reversing team

| Сообщение посчитали полезным:

Перехват API функций в Windows NT (часть 1). Основы перехвата.
Давно качал... совсем забыл про это... спс что напомнил. Старею - чертов склероз.

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

Из "Перехват API функций в Windows NT (часть 2)":
В среде Borland C++ Builder некоторые приведенные приёмы неосуществимы (в связи с особенностями генерации кода компилятором).
1) с чем это связано;
2)изменилась ли ситуация в следующих версиях(Codegear или Embarcadero RAD Studio ). Я так понимаю здесь имелся в виду C++Builder 6
3)"особенностями генерации кода компилятором" - можно ли это исправить, например ассемблерными вставками.
Просто привык сильно к этой среде

| Сообщение посчитали полезным:

g3r0n1m0 все осуществимо. Я делаю все proxy dll в дельфе 5.

Во вложении пример, заготовка для всех basic программ.
3738_26.07.2012_EXELAB.rU.tgz - 1.rar

Там остается только сделать перехват любой API, какой вздумается.
Для примера я перехватил RegQueryValueExA

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

В Перехват API функций в Windows NT (часть 2) есть архив с примерами. Пример InjectDllEx.dpr работает , но если применять CreateProcessWithDllEx , то Блокнот не выходит из приостановленного состояния. После ResumeThread на точку входа в Блокнот попадает, но дальше CreateWindowExW возвращает 0 и завершается. Сразу после возврата CreateWindowExW попробовал перескочить на GetLastError . Выдало 7F. Что означает The specified procedure could not be found. Но все равно причина не ясна. В чем причина?

| Сообщение посчитали полезным:

Похоже, проблема в создании удаленных потоков и запуске их, пока главный поток стоит. Если процесс создается с флагом CREATE_SUSPENDED , то процесс не отображается в списке процессов , по крайней мере Ольга не видит его в окне Attach (Кстати , как приаттатчиться к такому процессу Ольгой? ), но как только создается удаленный поток, то процесс notepad.exe появляется.

Здесь у топикстартер пишет, что тоже если стартует не основной поток , то потом нифига не работает.

| Сообщение посчитали полезным:

При CREATE_SUSPENDED даже импорт не парсится и никакие внешние dll'ки не загружаются в процесс. Соответственно, приаттачиться в таком состоянии невозможно.

| Сообщение посчитали полезным:

Тогда вообще эта статья имеет посредственную ценность, так как нужно будет инжект длл делать с запущенным процессом и молиться , чтобы инжектируемая длл успела сделать все поправки.

| Сообщение посчитали полезным:

А что мешает использовать DEBUG_PROCESS с int3 в Entry Point, например?

| Сообщение посчитали полезным:

>> А что мешает использовать DEBUG_PROCESS с int3 в Entry Point, например?

После инжекта мой процесс закроется и убьет созданный процесс. Смысла тогда не вижу в инжекте длл.

| Сообщение посчитали полезным:

volopas пишет:
После инжекта мой процесс закроется и убьет созданный процесс.
Твой процесс будет выступать отладчиком для запускаемого процесса. Ничего не закроется и ничего не убьётся.

| Сообщение посчитали полезным:

>>Твой процесс будет выступать отладчиком для запускаемого процесса
А разве после закрытия отладчика, отлажываемый процесс не убивается? Этим приемом автор статьи кстати убивает Касперского (кслову противодействовать этому очень просто, если в драйвер сам запустит отладку касперского)

| Сообщение посчитали полезным:

volopas
--> Link <--

| Сообщение посчитали полезным:

Про отладчик - это всё костыли. Тогда уж проще написать отладчик или написать прогу , которая будет нажимать на кнопки в стороннем отладчике (напр. Ольге) и этот отладчик будет перехватывать API через родные приемы бряков. Я же хочу понять суть ошибки в применении CreateProcessWithDllEx и хочу добиться перехвата через инжекцию длл без костылей и отладчиков.

Подскажите , в какую сторону копать. Почему если стартует неосновной поток, то потом ничего не работает? Если приаттатчится к процессу с отработавшими неосновными потоками, но остановленным основным (теперь он будетт виден в Ольге), то в окне Потоков в столбике Entry основной поток имеет 00000000. А если запускать блокнот в Ольге , то там стоит точка входа

| Сообщение посчитали полезным:

volopas
а в чем проблема я не понимаю отладить свой код и посмотреть что и почему не воркает/падает? может что то не так делаешь? где твои сорцы?

| Сообщение посчитали полезным:

volopas пишет:
Похоже, проблема в создании удаленных потоков и запуске их, пока главный поток стоит

Проблема в том, что кто-то как нихрена не читал и не хотел делать, так и продолжает в том же духе. Кстати, как там старфорс - уже распаковался?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

>>а в чем проблема я не понимаю отладить свой код и посмотреть что и почему не воркает/падает? может что то не так делаешь? где твои сорцы?

Все исходники в файле advApiHook.rar к второй части статьи:

TestDll.dll вообще не компилировал , взял готовую
InjectDllEx.dpr Переписал следующим образом:



advApiHook.pas не менял:


Все прекрасно работает в моем приложении и DLL отрабатывать (правда окна не видно, так как процесс приостановлен , но если делать инжект после старта Блокнота, то Messagebox вылетает аж бегом). Проблема в уже Блокноте, который не может выйти из SUSPENDED. Я отлаживал его , CreateWindowExW при создании окна класса Edit возвращает 0. А 0 возвращает потому что по адресу $ 00090010 стоит 0, а должно быть 00090010 60 00 00 40 . У вас адрес может быть другой . По-моему это основная куча процесса. Но что это означает, не понял. Методом тыка попробовал закомментировать все процедуры , использующие CreateRemoteThread и блокнот нормально начал работать (естественно, без инжекта)

TЕсли вместо блокнота прописать путь к Пэйнту, то Пэйнт не закрывается , а все таки стартует. Но видно только основное окно , строку меню и полотно, ничего нарисовать нельзя.

da44_25.06.2013_EXELAB.rU.tgz - advApiHook.rar

| Сообщение посчитали полезным:

TЕсли вместо блокнота прописать путь к Пэйнту, то Пэйнт не закрывается , а все таки стартует. Но видно только основное окно , строку меню и полотно, ничего нарисовать нельзя.

| Сообщение посчитали полезным:

volopas компилишь я надеюсь не в юникодной дельфи?

volopas пишет:
Нет , да это вообще не проблема этих исходников. Хотите сказать, у вас работает? Наверняка же не работает. (Я имею в виду восстанавливается ли приложение из suspended-состояния? Сам инжект работает)
я не пойму, какая стоит задача вообще? тупо заинжектить либу или что?

| Сообщение посчитали полезным:

>>volopas компилишь я надеюсь не в юникодной дельфи?

Нет , да это вообще не проблема этих исходников. Хотите сказать, у вас работает? Наверняка же не работает. (Я имею в виду восстанавливается ли приложение из suspended-состояния? Сам инжект работает)
В родном файле InjectDllEx.dpr:
begin
//Запускаем процесс
ZeroMemory(@StartInfo, SizeOf(TStartupInfo));
StartInfo.cb := SizeOf(TStartupInfo);
CreateProcess(nil, 'notepad.exe', nil, nil, False, 0,
nil, nil, StartInfo, ProcInfo);
//считываем Dll в память
sFile := CreateFile('TestDll.dll', GENERIC_READ, FILE_SHARE_READ,
nil, OPEN_EXISTING, 0, 0);
Size := GetFileSize(sFile, nil);
GetMem(Buff, Size);
ReadFile(sFile, Buff^, Size, BytesReaded, nil);
CloseHandle(sFile);

Sleep(2000);

InjectDllEx(ProcInfo.hProcess, Buff);
FreeMem(Buff);
end.

Для чего здесь Sleep(2000); ? Явно и у автора самого не работает. Поэтому он решил исключить пример с использованием CreateProcessWithDllEx, и ограничелся инжектом в уже действующий процесс. Но такой инжект бесполезен, так как целевой процес будет с момента старта беспрепятственно использовать неперехваченные процедуры.

| Сообщение посчитали полезным:

volopas
Открою вам правду и истену. Задача должна решаться на основе требований и механизмов, они должны быть изначально чётко определены. Соответственно решенье должно удовлетворять эти требования. Допиливать фундаментально кривое гавно не годится.

Вам нужно загрузить из памяти модуль - не нужен экзешник, он от длл отличается всего лишь одним битом в хидере и релоками(обычно их нет, ибо ядро мапит). Так вот и используйте уже существующие лодеры(лучше вы написать не способны на данный момент), билдите с /dll(фиксапы). Ежели это конечно не зарипанный целиком модуль..

Инжект - бесчисленное количество метод есть. А дедлоки у вас походу на кс нтлдр, вполне вероятно. Низя окна и треды создавать из дллмэйн. Она защищена критической секцией. Обойти есно можно, но вы вначале разберитесь с простейшими вещами.

Самое элементарное решенье - создаём процесс остановленным, загружаем в контекст ссыль на стаб(в rEax вродь, не помню точно). Либо ставим апк в очередь треду. Стандартные методы. А дельфя это уёбищная среда, не удивительно что у вас чота отваливается - она слишком много говна по дефолту линкует.

| Сообщение посчитали полезным:

>>Задача должна решаться на основе требований и механизмов, они должны быть изначально чётко определены.

Задача состоит в перехвате функции ReadFile в целевом приложении, которое практически сразу после запуска использует функцию ReadFile . Лоадер тоже пытается успеть: сначала ReadProcessMemory и если байты есть, то замениь их через WriteProcessMemory , если байтов нет, то sleep(100). А где гарантия, что во время проверки ReadProcessMemory или sleep(100), целевой процесс не успеет обратиться к функции.

Метод четко определен: использовать CreateProcessWithDllEx

| Сообщение посчитали полезным:

volopas

Пока стартап тред не покинул нтлдр, есть не много мест, откуда экспорт из кернел может вызываться. По дефолту это либо еп кернел, либо еп статически прилинкованных либ. Тут очевидно как сказали отладочный порт само то, при мапе файловой секции достовляется на порт нотифи. В этот момент и можно пропатчить.

В любом другом случае придётся с нэйтивом работать. NtReadFile вам же не годится ?

Ну а в цикле вращаться ожидая когда промапится кернел - мусье знает толк в извратах

| Сообщение посчитали полезным:

Dr0p
Да что вы с ним возитесь - это ж гроза старфорса свиновод. Уже больше года старфорс анпакает, и всё никак функции перехватывать не научился. Даже блог есть --> вот он <--. Ржака ещё та. А вы ему кернел, отладочный порт.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: Dart Sergius, plutos

volopas пишет:
Задача состоит в перехвате функции ReadFile в целевом приложении, которое практически сразу после запуска использует функцию ReadFile
Создай процесс остановленным, выдели в нем память, поменяй контекст регистра Eip на эту область и запиши туда шеллкод(рипни со стронга), который и вызовет LoadLibrary.

| Сообщение посчитали полезным: