Перехват функции GetProcAddress крашит процесс (Detours)

@eXpl01TeR · Регистрация: 14.08.2019

Студворк — интернет-сервис помощи студентам

Есть вот такой код, который по логике должен перехватывать функцию GetProcAddress, но почему-то вместо этого крашит процесс. Возможно это важно, внедрение библиотеки идёт в процесс который находится в состоянии заморозки. Заморожен он был в момент когда подгрузились три библиотеки: User32.dll, Kernel32.dll и ntdll.dll.

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
#include <Windows.h>
#include <Detours.h>
 
typedef FARPROC(WINAPI* T_GetProcAddress)(HMODULE hModule, LPCSTR lpProcName);
 
T_GetProcAddress pGetProcAddress = reinterpret_cast<T_GetProcAddress>(GetProcAddress(GetModuleHandle(L"Kernel32.dll"), "GetProcAddress"));
 
FARPROC WINAPI myGetProcAddress(HMODULE hModule, LPCSTR lpProcName)
{
    return pGetProcAddress(hModule, lpProcName);
}
 
BOOL APIENTRY DllMain(HINSTANCE handle, DWORD reason, LPVOID reserved)
{
    switch (reason)
    {
        case DLL_PROCESS_ATTACH:
        {
            DetourRestoreAfterWith();
            DetourTransactionBegin();
            DetourUpdateThread(GetCurrentThread());
            DetourAttach(&(PVOID&)pGetProcAddress, myGetProcAddress);
            return DetourTransactionCommit() == NO_ERROR;
        }
 
        break;
 
        case DLL_PROCESS_DETACH:
        {
            DetourRestoreAfterWith();
            DetourTransactionBegin();
            DetourUpdateThread(GetCurrentThread());
            DetourDetach(&(PVOID&)pGetProcAddress, myGetProcAddress);
            return DetourTransactionCommit() == NO_ERROR;
        }
    }
 
    return TRUE;
}

Самое забавное в том, что при перехвате GetProcAddress при помощи WinAPI Override все работает отлично. При этом процесс все так же заморожен и подгружено было только три библиотеки названные выше. В чём может быть проблема?

@_lunar_ · 28.06.2021, 22:55

Отладка с заходом в модуль Detour покажет на какой инструкции происходит падение процесса.

А вообще, не вижу смысла в этом Detour.
Проще хукнуть перед ядром - LdrGetProcedureAddressForCaller через LdrLoadDll

@eXpl01TeR · 29.06.2021, 14:52 **[ТС]**

Сообщение от _lunar_

Отладка с заходом в модуль Detour покажет на какой инструкции происходит падение процесса

Процесс обнаруживает всякие отладчики.

Сообщение от _lunar_

Проще хукнуть перед ядром - LdrGetProcedureAddressForCaller через LdrLoadDll

Не понял. Объясните, пожалуйста, подробнее.

Не по теме:

Кстати, Вы же очень шарите в этом всём, не знаете случайно, может, можно перехватить какую-то одну функцию, которая будет влиять собой на GetTickCount, GetTickCount64, timeGetTime? Я хочу написать спидхак, но в процессе используются всякие проверки и если хотя бы с одной функцией результат не совпадает - выкидывает с сервера.

@_lunar_ · 29.06.2021, 17:21

Сообщение от eXpl01TeR

Процесс обнаруживает всякие отладчики.

сперва посмотрите есть ли в PE хидере секция TLS Callback.
это детская защита от антидебага с целью спрятать в эту секцию (секция TLS Callback выполняется до точки входа main) функцию IsDebuggerPresent
любой PE Viewer влегкую определит её наличие и базовый адрес
ну или несложным кодом можно узнать адреса и количество callback'ов

C++
1
2
3
4
5
6
7
8
9
10
11
12
ULONG Size = NULL;
auto pDos = (PIMAGE_DOS_HEADER)ImageBaseAddr;
auto pTlsDir = (PIMAGE_TLS_DIRECTORY)ImageDirectoryEntryToData(ImageBaseAddr, TRUE, IMAGE_DIRECTORY_ENTRY_TLS, &Size);
auto TlsCallback = (PIMAGE_TLS_CALLBACK*)pTlsDir->AddressOfCallBacks;
if (*(PSSIZE_T)TlsCallback != 0) {
    auto i = 1;
    while (*TlsCallback) {
        printf("TlsCallback_%d: 0x%016llX\n", i, *(PSSIZE_T)TlsCallback);
        TlsCallback++;
        i++;
    }
}

если разраб запихал что-то более серьёзное (NativeAPI и функционал ntdll.dll), то и это не проблема - настройка плагина ScyllaHide для отладчика x64Dbg решит эту проблему.
ну и есть ещё более тяжелый анти-анти дебаг уровня ядра - TitanHide всё для того же отладчика.
правда с этим плагином/драйвером придётся немного повозиться (но если есть опыт с WinDbg с уровнем KernelMode, то проблем не будет).

Сообщение от eXpl01TeR

Объясните, пожалуйста, подробнее.

вы хотите перехватить функцию GetProcAddress, кстати код которой находится не в kernel32.dll, а в KernelBase.dll (начиная с Windows 8.1)
kernel32.dll только стаб на внешнюю функцию

C
1
2
3
4
5
6
FARPROC __stdcall GetProcAddressStub(HMODULE hModule, LPCSTR lpProcName)
{
  void *retaddr; // [rsp+0h] [rbp+0h]
 
  return (FARPROC)GetProcAddressForCaller(hModule, lpProcName, retaddr);
}

вот собственно код KernelBase!GetProcAddress

C
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
FARPROC __stdcall GetProcAddress(HMODULE hModule, LPCSTR lpProcName)
{
  INT_PTR (__stdcall *v3)(); // rbx
  PVOID v4; // rcx
  __int64 v5; // r8
  struct _STRING *v6; // rdx
  int v7; // eax
  FARPROC result; // rax
  __int64 v9; // rcx
  struct _STRING DestinationString; // [rsp+30h] [rbp-18h] BYREF
  void *retaddr; // [rsp+48h] [rbp+0h]
  INT_PTR (__stdcall *v12)(); // [rsp+58h] [rbp+10h] BYREF
 
  v3 = (INT_PTR (__stdcall *)())hModule;
  if ( (unsigned __int64)lpProcName <= 0xFFFF )
  {
    v4 = (PVOID)BasepMapModuleHandle(hModule, 0i64);
    v5 = (unsigned int)lpProcName;
  }
  else
  {
    RtlInitString(&DestinationString, lpProcName);
    if ( v3 )
    {
      if ( ((unsigned __int8)v3 & 3) != 0 )
        v4 = 0i64;
      else
        v4 = v3;
    }
    else
    {
      v4 = NtCurrentPeb()->ImageBaseAddress;
    }
    v5 = 0i64;
    v6 = &DestinationString;
  }
  v7 = LdrGetProcedureAddressForCaller(v4, v6, v5, &v12, 0, retaddr);
  if ( v7 < 0 )
  {
    v9 = (unsigned int)v7;
LABEL_14:
    BaseSetLastNTError(v9);
    return 0i64;
  }
  if ( v3 )
  {
    if ( ((unsigned __int8)v3 & 3) != 0 )
      v3 = 0i64;
  }
  else
  {
    v3 = (INT_PTR (__stdcall *)())NtCurrentPeb()->ImageBaseAddress;
  }
  result = v12;
  if ( v12 == v3 )
  {
    v9 = (unsigned int)((unsigned __int64)lpProcName > 0xFFFF) - 1073741512;
    goto LABEL_14;
  }
  return result;
}

здесь интерес вызывает только LdrGetProcedureAddressForCaller она находится в ntdll.dll

C
1
2
3
4
5
6
NTSTATUS NTAPI LdrGetProcedureAddressForCaller(_In_ PVOID DllHandle,
    _In_opt_ PANSI_STRING ProcedureName, _In_opt_ ULONG ProcedureNumber,
    _Out_ PVOID *ProcedureAddress, _In_ ULONG Flags, _In_ PVOID *Callback)
{
    // много internal кода
}

перехват именно LdrGetProcedureAddressForCaller даст: во-первых, обход лишних проверок (от KernelBase до ntdll), во-вторых, контроль передаваемых данных в ядро.
перехватывайте не kernel32!GetProcAddress, а ntdll!LdrGetProcedureAddressForCaller

Сообщение от eXpl01TeR

если хотя бы с одной функцией результат не совпадает - выкидывает с сервера

по хорошему нужно каждый раз восстанавливать функцию (её VirtualProtect), а данные полученные хуком записывать в глобальную область и оттуда уже использовать.
просто непонятно как именно работает сервер.
возможно там какой-то определенный порядок загрузки библиотек, и тогда стандартные методы работать не будут, нужен обход на основе анализа кода.

@eXpl01TeR · 29.06.2021, 21:06 **[ТС]**

Сообщение от _lunar_

по хорошему нужно каждый раз восстанавливать функцию (её VirtualProtect)

Не, я имел ввиду что там используются функции GetTickCount, GetTickCount64, NtGetTickCount, timeGetTime и сравниваются результаты между собой (время которое вернули функции), если оно не совпадает - отключает от сервера. Может, есть какая-то одна функция, которая влияет собой на эти четыре, которую можно перехватить чтобы изменить результаты всех этих четырех функций? Я могу перехватить каждую из этих четырех, но всё-же, вдруг есть какая-то одна функция. А за остальное, спасибо огромное, я даже представить не могу, сколько всего Вы знаете крутого, как раз в той области, которая мне очень интересна. Аж крышу сносит.

@_lunar_ · 29.06.2021, 22:48

Сообщение от eXpl01TeR

Может, есть какая-то одна функция, которая влияет собой на эти четыре, которую можно перехватить чтобы изменить результаты всех этих четырех функций?

к сожалению нет.
код исполнения всех этих функций находятся непосредственно в библиотеках kernel32.dll и ntdll.dll

Сообщение от eXpl01TeR

если оно не совпадает - отключает от сервера

а с чем сравнивается? с сервером?
все эти функции (GetTickCount, GetTickCount64, NtGetTickCount) используют один сегментный регистр данных.
насколько помню (давно с asm не работал) доступ в DS напрямую получить нельзя (база 0x7ffe0000 это структура USER_SHARED_DATA)

Assembler
1
2
3
mov ecx, 7FFE0320h
mov rcx, [rcx]
mov ecx, ds:7FFE0004h

ds:7FFE0004h это KUSER_SHARED_DATA::TickCountMultiplier

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
ULONG NtGetTickCount ( VOID )
{
    ULONGLONG Product;
 
    //
    // compute unsigned 64-bit product
    //
 
    Product = (ULONGLONG)KeTickCount * ExpTickCountMultiplier;
 
    //
    // shift off 24-bit fraction part and
    // return the 32-bit canonical ULONG integer part.
    //
           
    return ((ULONG)(Product >> 24));
}

TickCountMultiplier (или ExpTickCountMultiplier) вычисляется в ядре как KiInitializeKernel -> ExpInitializeExecutive -> ExComputeTickCountMultiplier

теоретически можно брать данные из регистра DS и сравнивать с тем, что вернул сервер.
если они отличны друг от друга - записать в регистр то, что необходимо.

@eXpl01TeR · 30.06.2021, 17:55 **[ТС]**

Сообщение от _lunar_

а с чем сравнивается? с сервером?

Нет. Все проверки клиентские, просто берется много разных функций которые возвращают время и сравниваются между собой. Если хотя бы одна возвращает что-то, что сильно отличается, то кикает с сервера.

Новые блоги и статьи Все статьи Все блоги /
Отправка уведомления на почту при изменении наименования справочника Maks 24.03.2026 Программная отправка письма электронной почты на примере изменения наименования справочника "Склады" в конфигурации БП3. Перед реализацией необходимо выполнить настройку системной учетной записи. . .	модель ЗдравоСохранения 5. Меньше увольнений- больше дохода! anaschu 24.03.2026 Теперь система здравосохранения уменьшает количество увольнений. 9TO2GP2bpX4 a42b81fb172ffc12ca589c7898261ccb/ https:/ / rutube. ru/ video/ a42b81fb172ffc12ca589c7898261ccb/ Слева синяя линия -. . .	Midnight Chicago Blues kumehtar 24.03.2026 Такой Midnight Chicago Blues, знаешь?. . Когда вечерние улицы становятся ночными, а ты не можешь уснуть. Ты идёшь в любимый старый бар, и бармен наливает тебе виски. Ты смотришь на пролетающие. . .	Контроль уникальности заводского номера - вариант №2 Maks 24.03.2026 В отличие от предыдущего варианта добавлено прерывание циклов, также добавлены новые переменные для сохранения контекста ошибки перед прерыванием цикла: Процедура ПередЗаписью(Отказ, РежимЗаписи,. . .
SDL3 для Desktop (MinGW): Вывод текста со шрифтом TTF с помощью библиотеки SDL3_ttf на Си и C++ 8Observer8 24.03.2026 Содержание блога Финальные проекты на Си и на C++: finish-text-sdl3-c. zip finish-text-sdl3-cpp. zip	Жизнь в неопределённости kumehtar 23.03.2026 Жизнь — это постоянное существование в неопределённости. Например, даже если у тебя есть список дел, невозможно дойти до точки, где всё окончательно завершено и больше ничего не осталось. В принципе,. . .	Модель здравоСохранения: работники работают быстрее после её введения. anaschu 23.03.2026 geJalZw1fLo Корпорация до введения программа здравоохранения имела много невыполненных работниками заданий, после введения программы количество заданий выросло. Но на выплатах по больничным это. . .	Контроль уникальности заводского номера - вариант №1 Maks 23.03.2026 Алгоритм контроля уникальности заводского (или серийного) номера на примере документа выдачи шин для спецтехники с табличной частью в конфигурации КА2. Данные берутся из регистра сведений, по. . .

@_lunar_ 3701 / 2836 / 451 Регистрация: 03.05.2011 Сообщений: 5,193 Записей в блоге: 21
	28.06.2021, 22:55
	Отладка с заходом в модуль Detour покажет на какой инструкции происходит падение процесса. А вообще, не вижу смысла в этом Detour. Проще хукнуть перед ядром - LdrGetProcedureAddressForCaller через LdrLoadDll 1

Перехват функции GetProcAddress крашит процесс (Detours)

Решение