Сканер сигнатур - C++ WinAPI - Ответ 5640588

@_lunar_ · Регистрация: 03.05.2011

Author24 — интернет-сервис помощи студентам

в продолжении этой темы Остановить процесс загрузки файла в память на конкретном адресе но по другому вопросу

в общем получилась данная задумка

подменил параметр D3D_FEATURE_LEVEL_11_1 на D3D_FEATURE_LEVEL_10_0 и запустил D3D11-приложение на DX10-видеокарте.

Dll (хук)

Кликните здесь для просмотра всего текста

C++

#include <Windows.h>
#include <d3d11_2.h>
 
#pragma comment(lib, "d3d11.lib")
 
DWORD WINAPI Hook_thread(LPVOID);
DWORD hooked_D3D11CreateDeviceAndSwapChain = 0;
 
DWORD APIENTRY DllMain(HMODULE hModule, DWORD dwReason, LPVOID lpReserved)
{
    switch (dwReason)
    {
    case DLL_PROCESS_ATTACH:
        CreateThread(NULL, NULL, Hook_thread, NULL, NULL, NULL);
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
    default:
        break;
    }
    return true;
}
 
HRESULT HookedD3D11CreateDeviceAndSwapChain(
    _In_   IDXGIAdapter *pAdapter,
    _In_   D3D_DRIVER_TYPE DriverType,
    _In_   HMODULE Software,
    _In_   UINT Flags,
    _In_   const D3D_FEATURE_LEVEL *pFeatureLevels,
    _In_   UINT FeatureLevels,
    _In_   UINT SDKVersion,
    _In_   const DXGI_SWAP_CHAIN_DESC *pSwapChainDesc,
    _Out_  IDXGISwapChain **ppSwapChain,
    _Out_  ID3D11Device **ppDevice,
    _Out_  D3D_FEATURE_LEVEL *pFeatureLevel,
    _Out_  ID3D11DeviceContext **ppImmediateContext
    )
{
    D3D_FEATURE_LEVEL g_pFeatureLevels = D3D_FEATURE_LEVEL_10_0;
    pFeatureLevels = &g_pFeatureLevels;
 
    return D3D11CreateDeviceAndSwapChain(pAdapter, DriverType, Software,
        Flags, pFeatureLevels, FeatureLevels, SDKVersion,
        pSwapChainDesc, ppSwapChain, ppDevice, pFeatureLevel, ppImmediateContext);
}
 
void CallHook()
{
    _asm call dword ptr hooked_D3D11CreateDeviceAndSwapChain
}
 
DWORD WINAPI Hook_thread(LPVOID)
{
    hooked_D3D11CreateDeviceAndSwapChain = (DWORD)HookedD3D11CreateDeviceAndSwapChain;
    DWORD call_address = 0x0; // адрес функции D3D11CreateDeviceAndSwapChain в памяти (нужно искать вручную)
 
    DWORD old_prot = 0;
 
    VirtualProtect((void*)call_address, 6, PAGE_EXECUTE_READWRITE, &old_prot);
    memcpy((void*)call_address, (PBYTE)CallHook, 6);
    VirtualProtect((void*)call_address, 6, old_prot, &old_prot);
    ::ExitThread(1337);
}

программа для приостановки процесса инициализации (со встроенным инжектором)

Кликните здесь для просмотра всего текста

C++

#include <iostream>
#include <Windows.h>
 
using namespace std;
 
typedef LONG(WINAPI* NTRESUMEPROCESS)(HANDLE pHandle);
 
HANDLE hProc = 0;
 
PROCESS_INFORMATION StartProcess(char* AppName)
{
    cout << "AppName: " << AppName << endl;
    PROCESS_INFORMATION procInfo;
    STARTUPINFO startInfo;
    memset(&procInfo, 0, sizeof(procInfo));
    memset(&startInfo, 0, sizeof(startInfo));
    startInfo.cb = sizeof(startInfo);
 
    char temp[MAX_PATH];
    CreateProcess(AppName, temp, NULL, NULL, FALSE,
        CREATE_SUSPENDED, NULL, NULL, &startInfo, &procInfo);
 
    return procInfo;
}
 
bool Inject(DWORD pID, char* path)
{
    LPVOID RemoteString;
    LPVOID LoadLibAddr;
    if (pID == 0)
        return false;
    if (hProc == 0)
        return false;
    LoadLibAddr = GetProcAddress(GetModuleHandle("kernel32.dll"), "LoadLibraryA");
    RemoteString = VirtualAllocEx(hProc, NULL, strlen(path),
        MEM_RESERVE | MEM_COMMIT, PAGE_READWRITE);
    WriteProcessMemory(hProc, RemoteString, path, strlen(path), NULL);
    CreateRemoteThread(hProc, NULL, NULL, (LPTHREAD_START_ROUTINE)LoadLibAddr,
        RemoteString, NULL, NULL);
    CloseHandle(hProc);
    return true;
}
 
int main()
{
    DWORD time;
    cout << "Time for sleep thread, in milliseconds: ";
    cin >> time;
    cout << endl;
 
    char AppName[256];
    cout << "Enter AppName name: ";
    cin >> AppName;
    cout << endl;
 
    PROCESS_INFORMATION procInfo = StartProcess(AppName);
    cout << "Process is SUSPENDED." << endl;
    cout << endl << "Press F1..." << endl;
    hProc = procInfo.hProcess;
    while (1)
    {
        if (GetAsyncKeyState(VK_F1))
        {
            NTRESUMEPROCESS Resume = (NTRESUMEPROCESS)GetProcAddress(
                GetModuleHandle("ntdll.dll"), "NtResumeProcess");
            cout << "Process is RESUME." << endl;
            Resume(procInfo.hProcess);
            Sleep(time);
            SuspendThread(procInfo.hThread);
            cout << "Thread is SUSPENDED." << endl;
            cout << endl << "Press F2 for using dll_injector..." << endl;
        }
 
        if (GetAsyncKeyState(VK_F2))
        {
            char DllName[256];
            cout << "Enter DllName name: ";
            cin >> DllName;
            cout << endl;
            Inject(procInfo.dwProcessId, DllName);
            cout << "Dll injected." << endl;
            cout << endl << "Press F3 for resume thread..." << endl;
        }
 
        if (GetAsyncKeyState(VK_F3))
        {
            ResumeThread(procInfo.hThread);
            cout << "Thread is RESUME." << endl;
        }
 
        Sleep(100);
    }
 
    return 0;
}

ну и само тестовое D3D11-приложение

Кликните здесь для просмотра всего текста

C++

#include <d3d11_2.h>
 
#pragma comment (lib, "d3d11.lib")
 
ID3D11Device* device;
IDXGISwapChain* swapChain;
ID3D11RenderTargetView* renderTarget;
ID3D11DeviceContext* context;
ID3D11Texture2D* texture;
 
void CleanD3D()
{
    device->Release();
    swapChain->Release();
    renderTarget->Release();
    context->Release();
    texture->Release();
}
 
void RenderFrameD3D()
{
    float ClearColor[4] = { 0.396078431372549f, 0.6117647058823529f,
        0.9372549019607843f, 1.0f };
    context->ClearRenderTargetView(renderTarget, ClearColor);
    swapChain->Present(0, 0);
}
 
void InitializeD3D(HWND hWnd)
{
    UINT creationFlags = D3D11_CREATE_DEVICE_BGRA_SUPPORT;
#if defined(_DEBUG)
    creationFlags |= D3D11_CREATE_DEVICE_DEBUG;
#endif
    D3D_FEATURE_LEVEL featureLevels = D3D_FEATURE_LEVEL_11_1;
 
    DXGI_SWAP_CHAIN_DESC desc = { 0 };
    ZeroMemory(&desc, sizeof(DXGI_SWAP_CHAIN_DESC));
    desc.BufferCount = 2;
    desc.Windowed = TRUE;
    desc.OutputWindow = hWnd;
    desc.BufferUsage = DXGI_USAGE_RENDER_TARGET_OUTPUT;
    desc.SampleDesc.Count = 1;
    desc.SampleDesc.Quality = 0;
    desc.BufferDesc.Format = DXGI_FORMAT_R8G8B8A8_UNORM;
 
    D3D11CreateDeviceAndSwapChain(NULL, D3D_DRIVER_TYPE_HARDWARE, NULL, creationFlags,
        &featureLevels, 1, D3D11_SDK_VERSION, &desc, &swapChain, &device, NULL, &context);
 
    swapChain->GetBuffer(0, IID_PPV_ARGS(&texture));
    device->CreateRenderTargetView(texture, NULL, &renderTarget);
}
 
LRESULT CALLBACK WindowProc(HWND hWnd, UINT message, WPARAM wParam, LPARAM lParam)
{
    switch (message)
    {
    case WM_DESTROY:
        {
            PostQuitMessage(0);
            return 0;
        }
    }
    return DefWindowProc(hWnd, message, wParam, lParam);
}
 
int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance,
    LPSTR lpCmdLine, int nCmdShow)
{
    WNDCLASSEX wc;
    ZeroMemory(&wc, sizeof(WNDCLASSEX));
    wc.cbSize = sizeof(WNDCLASSEX);
    wc.style = CS_HREDRAW | CS_VREDRAW;
    wc.lpfnWndProc = WindowProc;
    wc.hInstance = hInstance;
    wc.hCursor = LoadCursor(0, IDC_ARROW);
    wc.lpszClassName = "WindowClass";
    RegisterClassEx(&wc);
    HWND hWnd = CreateWindowEx(0, "WindowClass", "Test D3D11.2",
        WS_SYSMENU | WS_MINIMIZEBOX, (GetSystemMetrics(SM_CXSCREEN) - 1280) / 2,
        (GetSystemMetrics(SM_CYSCREEN) - 720)/ 2, 1280, 720, 0, 0, hInstance, 0);
    ShowWindow(hWnd, nCmdShow);
    InitializeD3D(hWnd);
    MSG msg;
    while (1)
    {
        while (PeekMessage(&msg, 0, 0, 0, 1))
        {
            TranslateMessage(&msg);
            DispatchMessage(&msg);
        }
        if (msg.message == WM_QUIT) break;
        RenderFrameD3D();
    }
    CleanD3D();
    return msg.wParam;
}

вопрос в следующем: искать постоянно меняющийся адрес не вариант. Помогите со сканером сигнатур (точнее с функцией или прототипом функции). Пробовал те, которые в инете есть - результата никакого не дало. В OllyDbg сигнатуру с маской находить умею

пользовался вот такой заготовкой

C++

bool Data(const BYTE* pData, const BYTE* pattern, const char* mask)
{
    for (; *mask; mask++, pData++, pattern++)
    if (*mask == 'x' && *pData != *pattern)
        return false;
    return (*mask) == NULL;
}
 
DWORD FindPattern(DWORD addr, DWORD length, BYTE* pattern, char* mask)
{
    for (DWORD i = 0; i < length; i++)
    if (Data((BYTE*)(addr + i), pattern, mask))
        return (DWORD)(addr + i);
    return NULL;
}
 
DWORD WINAPI Hook_thread(LPVOID)
{
    hooked_D3D11CreateDeviceAndSwapChain = (DWORD)HookedD3D11CreateDeviceAndSwapChain;
 
    DWORD call_address = FindPattern((DWORD)module.LpBaseOfDll, module.SizeOfImage,
        (PBYTE)"\xFF\x15 ...", "xxxx????xxx ..."); // module - это MODULEINFO
 
    DWORD old_prot = 0;
 
    VirtualProtect((void*)call_address, 6, PAGE_EXECUTE_READWRITE, &old_prot);
    memcpy((void*)call_address, (PBYTE)CallHook, 6);
    VirtualProtect((void*)call_address, 6, old_prot, &old_prot);
    ::ExitThread(1337);
}

но как было сказано выше - безрезультатно.

Вернуться к обсуждению:
Сканер сигнатур C++ WinAPI

Следующий ответ