Перехват Winapi функций
29.05.2013, 21:42. Показов 1780. Ответов 2
Целый день пытаюсь побороть перехват с помощью dll, как-то ничего не получается, а google выдаёт только код Рихтера, но он не работает. Помогите найти ошибку.
замена адреса, вроде бы работает.
| C++ | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
| #include "stdafx.h"
#include "Win32Project1.h"
HANDLE logFile;
void ReplaceIATEntryInOneMod(PCSTR pszCallerModName, PROC pfnCurrent, PROC pfnNew, HMODULE hmodCaller) {
ULONG ulSize;
PIMAGE_IMPORT_DESCRIPTOR pImportDesc =
(PIMAGE_IMPORT_DESCRIPTOR) ImageDirectoryEntryToData(hmodCaller, TRUE, IMAGE_DIRECTORY_ENTRY_IMPORT, &ulSize);
if (pImportDesc == NULL)
return; // в этом модуле нет раздела импорта
// находим дескриптор раздела импорм со ссылками
// на функции DLL (вызываемого модуля)
for (; pImportDesc->Name; pImportDesc++) {
PSTR pszModName = (PSTR) ((PBYTE) hmodCaller + pImportDesc->Name);
if (lstrcmpiA(pszModName, pszCallerModName) == 0) break;
}
if (pImportDesc->Name == 0) // этот модуль не импортирует никаких функций из данной DLL
return;
// получаем таблицу адресов импорта (IAT) для функций DLL
PIMAGE_THUNK_DATA pThunk = (PIMAGE_THUNK_DATA) ((PBYTE) hmodCaller + pImportDesc->FirstThunk);
// заменяем адреса исходных функций адресами своих функций
for (; pThunk->u1.Function; pThunk++) {
// получаем адрес адреса функции
PROC* ppfn = (PROC*) &pThunk->u1.Function;
// та ли это функция, которая нас итересует?
BOOL fFound = (*ppfn == pfnCurrent);
// см. текст программы-примера, в котором
// содержится трюковый код для Windows 98
if (fFound) { // адреса сходятся, изменяем адрес в разделе импорта
WriteProcessMemory(GetCurrentProcess(), ppfn, &pfnNew, sizeof(pfnNew), NULL );
return; // получилось, выходим
}
}
// если мы попали сюда, значит, в разделе импорта
// нет ссылки на нужную функцию
}
BOOL __stdcall DllMain(_In_ HMODULE hModuleDLL,_In_ DWORD fdwReason,_In_ LPVOID lpvReserved){
switch (fdwReason)
{
case DLL_PROCESS_ATTACH:
logFile = CreateFileW(L"d:\\results.txt", GENERIC_WRITE, FILE_SHARE_WRITE, NULL, CREATE_ALWAYS, NULL, NULL);
Initialize(L"d:\\results.txt");
ReplaceIATEntryInOneMod("Kernel32.dll", GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "CreateFileW"),
GetProcAddress(GetModuleHandle(NULL), "CreateFileWNew"), GetModuleHandle(NULL));
break;
case DLL_PROCESS_DETACH:
CloseHandle(logFile);
Finalize();
break;
}
} |
|
Функция перехватчик:
| C++ | 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
| #include "stdafx.h"
#include "NewFunctions.h"
typedef HANDLE (WINAPI *CreateFileWProc)(LPCWSTR lpFileName,DWORD dwDesiredAccess,DWORD dwShareMode,
LPSECURITY_ATTRIBUTES lpSecurityAttributes,DWORD dwCreationDisposition,DWORD dwFlagsAndAttributes, HANDLE hTemplateFile);
CreateFileWProc CreateFileWOriginal;
HANDLE log;
BOOL Initialize(const wchar_t* logPath) {
log = CreateFileW(logPath, GENERIC_WRITE, FILE_SHARE_WRITE, NULL, CREATE_ALWAYS, NULL, NULL);
CreateFileWOriginal = (CreateFileWProc)GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "CreateFileW");
return true;
}
BOOL Finalize(){
CloseHandle(log);
return true;
}
HANDLE WINAPI CreateFileWNew(_In_ LPCTSTR lpFileName, _In_ DWORD dwDesiredAccess,_In_ DWORD dwShareMode,
_In_opt_ LPSECURITY_ATTRIBUTES lpSecurityAttributes,_In_ DWORD dwCreationDisposition,
_In_ DWORD dwFlagsAndAttributes,_In_opt_ HANDLE hTemplateFile){
CreateFileWOriginal(L"d:\\yes.txt", GENERIC_WRITE, FILE_SHARE_WRITE, NULL, CREATE_ALWAYS, NULL, NULL);
HANDLE result = CreateFileWOriginal(lpFileName, dwDesiredAccess, dwShareMode, lpSecurityAttributes, dwCreationDisposition,
dwFlagsAndAttributes, hTemplateFile);
return result;
} |
|
Тестирующая программа
| C++ | 1
2
3
4
5
6
| int _tmain(int argc, _TCHAR* argv[])
{
Sleep(1000); // со слипом вылетает, без него никакого эффекта
CloseHandle(CreateFileW(L"d:\\1.txt", GENERIC_WRITE, FILE_SHARE_WRITE, NULL, CREATE_ALWAYS, NULL, NULL));
return 0;
} |
|
0
|
(
Сообщение от VaeVictis
