статья Рихтера

@Van111 · Регистрация: 03.08.2011

Author24 — интернет-сервис помощи студентам

http://wm-help.net/books-onlin... 64-16.html
это 22 глава книге Рихтера
раздел Перехват API-вызовов с использованием раздела импорта
в тексте я наткнулся вот на это
PROC pfnOrig = GctProcAddress(GetModuleHandle("Kernel32"), "ExitProcess");
HMODULE hmodCaller = GetModuleHandle("DataBase.exe");

void RoplaceIATEntryInOrioMod(
"Kernel32.dll", // модуль, содержащий ANSI-функцию
pfnOrig, // адрес исходной функции в вызываемой DLL
MyExitProcess, // адрес заменяющей функции
hmodCaller); // описатель модули, из которого надо вызывать новую функци

функция GetModuleHandle возвращает базу dll или exe файла которая ЗАГРУЖЕНА в виртуальное пространство текущего процесса а как быть если процесс чужой ?

Добавлено через 9 минут
прокатит ли такой способ?
процесс А inject
процесс B test
запускается процесс А, грузит длл с функциями перехватчиками в пространство выше двух гигов, потом процесс А мэпирует файл test в память ,изменяет его таблицу импорта на мои функции которые находятся в загруженной dll. есть одно но в таблице импорта находятся адреса смещения от базы или RVA адреса.
МОДЕРАТОРЫ прошу сделать эту тему доступной для asm кодеров

Добавлено через 7 минут
почему этот код не сработал ?

C++

//---------------------------------------------------------------------------
#include "windows.h"
#include "Imagehlp.h"
#include <iostream>
#pragma hdrstop
//---------------------------------------------------------------------------
#pragma argsused
#define MAXMODULE 50
using namespace std;
typedef HANDLE  (WINAPI*cfunc)(HWND hWnd,
    LPCTSTR lpText,
    LPCTSTR lpCaption,
    UINT uType);
cfunc MyMess;
 
void ReplaceIATEntryInOneMod(PCSTR pszCalleeModName, PROC pfnCurrent, PROC pfnNew, HMODULE hmodCaller)
{
 
ULONG ulSize;
 
PIMAGE_IMPORT_DESCRIPTOR pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR) ImageDirectoryEntryToData(hmodCaller, TRUE,IMAGE_DIRECTORY_ENTRY_IMPORT, &ulSize);
 
if (pImportDesc == NULL)
        return;
 
for (; pImportDesc->Name; pImportDesc++)
{
        PSTR pszModName =  (PSTR)((PBYTE) hmodCaller + pImportDesc->Name);
        if (lstrcmpiA(pszModName, pszCalleeModName) == 0)
                break;
}
 
if (pImportDesc->Name == 0)
        return;
 
PIMAGE_THUNK_DATA pThunk = (PIMAGE_THUNK_DATA) ((PBYTE) hmodCaller + pImportDesc->FirstThunk);
 
 
for (; pThunk->u1.Function; pThunk++)
{
 
        PROC* ppfn = (PROC*) &pThunk->u1.Function;
        BOOL fFound = (*ppfn == pfnCurrent);
        if (fFound)
        {
                WriteProcessMemory(GetCurrentProcess(), ppfn, &pfnNew, sizeof(pfnNew), NULL );
                return;
        }
 
}
 
 
}
 
int MyMessageBox(
    HWND hWnd,
    LPCTSTR lpText,
    LPCTSTR lpCaption,
    UINT uType
)
{
 MessageBox(0,"123","123",0) ;
 return 0;
}
 
int main(int argc, char* argv[])
{
       int err;
       char mod[MAXMODULE];
       PROC pfnOrig = GetProcAddress(GetModuleHandle("KERNEL32.DLL"), "CloseHandle");
       HMODULE hmodCaller = GetModuleHandle("Test_for_inject_dll.exe");
       cout <<hex <<pfnOrig <<dec <<endl <<hmodCaller <<endl;
       PROC m;
       (void*)m=MyMessageBox;
       ReplaceIATEntryInOneMod("KERNEL32.DLL", pfnOrig,m,hmodCaller);
      // MessageBox(0,"123","123",0) ;
        CloseHandle(0);
        system("Pause");
        return  0;
}

	31.05.2012, 17:54

Опции темы