Подмена WinAPI функции в своём приложении.

← →
GuAV © (2004-08-14 00:50) [0]

Как подменить например LoadString ?

← →
Cobalt © (2004-08-14 01:29) [1]

Use Debug DCU"s (в свойствах проекта, если не ошибаюсь), и изменение модуля Windows.

← →
GuAV © (2004-08-14 01:49) [2]

Спасибо, но не то. В рантайме надо.

← →
Cobalt © (2004-08-14 02:03) [3]

Дык, а чем рантайм-то отличается? Делай настроечку - Ещё одну функцию добавь - SetLoadStringProc с параметром адреса процедуры, её запоминаешь в переменной, и вызываешь в LoadString. И вся недолга.

← →
TUser © (2004-08-14 03:18) [4]

Что-то уже второй вопрос подряд читаю про изменения стандартных модулей. И зачем людям это надо?

← →
GuAV © (2004-08-14 05:17) [5]

> изменения стандартных модулей

Об этом речь не идёт

← →
Ihor Osov'yak © (2004-08-14 05:32) [6]

есть несколько методов подмены (перехвата), в частности -
1. Модификация таблиц импорта
2. Модификация таблий экспорта
3. Подмена кода самой функции (как правило, jmp на свою процедуру)
4. "Подсовывание" фальшивой dll, если функция в dll

Каждый из способов имеет свои недостатки и свои преимущества, и не всегда в конкретном случае может быть приемлемый (например, 1 и 2, 4 - только для функций, живущих в длл, и вызываемых с других модулей).

Метод 1, кажется, описан в Рихтера, в том, который со "спецификой 64-битности". Также когда-то видел статью на www.rsdn.ru - обзор этих методов перехвата, c примерами кода.

← →
GuAV © (2004-08-14 14:03) [7]

> 4. "Подсовывание" фальшивой dll, если функция в dll

Хм... мне не все функции нужны а одна... и в подмененную никто не полезет, ясли в памяти уже находится настоящая.

> 2. Модификация таблий экспорта

Нужно только для своей программы.

> 1. Модификация таблиц импорта

Это интересно. Буду благодарен за ссылку.

> 3. Подмена кода самой функции (как правило, jmp на свою
> процедуру)

Это тоже интересно, если делается для процедур из system.pas, а не библиотеки. Опять же, буду благодарен за ссылку.

Ладно, спасибо, пойду искать статьи...

← →
GuAV © (2004-08-14 20:03) [8]

Получилось подменить LoadResString (это уже не апи. так что ветку обратно в основную ;-) )

type TInterceptRec = packed record JMP: Byte; // Set to $E9 FCN: Pointer; end; function NewLoadResString(ResStringRec: PResStringRec): string; begin Result:="Nothing Special"; end; procedure TfrmMain.Button1Click(Sender: TObject); var Op: LongWord; I: TInterceptRec; Written: Cardinal; begin I.JMP:=$E9; I.FCN:=Pointer(Integer(@NewLoadResString) - Integer(@LoadResString) - SizeOf(I)); VirtualProtect(@LoadResString,SizeOf(I), PAGE_READWRITE, Op); WriteProcessMemory(GetCurrentProcess, @LoadResString, @I, SizeOf(I), Written); VirtualProtect(@LoadResString, SizeOf(I), Op, nil); end;

Это реализовано

> 3. Подмена кода самой функции (как правило, jmp на свою
> процедуру)

Спасибо, Ihor Osov"yak.

зы - помнится. Вы также про что-то подобное спрашивали :)

← →
GuAV © (2004-08-14 20:12) [9]

Да, ещё нашел вот что:

Практика показала, что вместо обычного jmp лучше применять комбинацию

push xxxxxxxx
ret

http://rsdn.ru/article/baseserv/IntercetionAPI.xml

← →
GuAV © (2004-08-14 20:44) [10]

Итак, вот что сейчас имеем.
type TInterceptRec = packed record JMP: Byte; FCN: Pointer; RET: Byte; end; procedure Interceptor; assembler; asm PUSH 0.DWORD RET end; function NewLoadResString(ResStringRec: PResStringRec): string; begin Result:="Nothing Special"; end; procedure Hook(Old, New: Pointer); var I: TInterceptRec; begin Move(Interceptor, I, SizeOf(I)); I.FCN:=New; WriteProcessMemory(GetCurrentProcess, Old, @I, SizeOf(I), LongWord(nil^)); end;

Кстати, только что было AV - текст - Nothing Special... LOL!

← →
Digitman © (2004-08-16 08:39) [11]

> Подмена WinAPI функции в своём приложении

то что здесь показано примером не имеет к сабжу никакого отношения

>>GuAV © (14.08.04 20:03) [8]

Использование WriteProcessMemory() для текущего процесса вместо Move() - это удаление гланд через задний проход, ИМХО.

Чезер MOVE у меня AV. Через MOVE я могу читать а не писать

К сабжу код отношение не имел, этот имеет:

procedure HookIt; var P: Pointer; Addr: Pointer; LName: PChar; A: PIMAGE_THUNK_DATA32; begin P:=Pointer(Hinstance); with IMAGE_DOS_HEADER(P^) do begin Assert(e_magic=$5A4D); // "MZ" Inc(Longint(P), e_lfanew + 4 + SizeOf(IMAGE_FILE_HEADER)); end; with IMAGE_OPTIONAL_HEADER(P^) do begin Assert(Magic=$010B); P:=@DataDirectory[1]; // импорт end; P:=Pointer(Hinstance+IMAGE_DATA_DIRECTORY(P^).VirtualAddress); Addr:=GetProcAddress(GetModuleHandle("user32.dll"), "LoadStringA"); repeat with IMAGE_IMPORT_DESCRIPTOR(P^) do begin LName:=PChar(Hinstance+Name); if SameText(LName,"user32.dll") then begin A:=Pointer(Hinstance+FirstThunk); while A^.AddressOfData <>0 do begin // Что тут писать ? Inc(Longint(A), SizeOf(A^)); end; end; end; Inc(Longint(P), SizeOf(IMAGE_IMPORT_DESCRIPTOR)); until IMAGE_IMPORT_DESCRIPTOR(P^).Name=0; end;

Как узнать какой case ???

_IMAGE_THUNK_DATA32 = record
case Integer of
0: (ForwarderString: DWORD); // PBYTE
1: (Function_: DWORD); // PDWORD
2: (Ordinal: DWORD);
3: (AddressOfData: DWORD); // PIMAGE_IMPORT_BY_NAME
end;

Или опять через тот проход ? :(

>>GuAV © (18.08.04 16:17) [13]

>Чезер MOVE у меня AV. Через MOVE я могу читать а не писать

В [8] использовался VirtualProtect, поэтому там использовать WriteProcessMemory - изврат. Если же без VirtualProtect, то даже наоборот - удобнее.

> GuAV © (18.08.04 16:17) [13]

легко отделаться хочешь ) .. не через "тот проход" ...

ключевой момент может выглядеть не проще чем вот так :

function SetProcAddress(hModule: THandle; lpProcName: PChar; pProcAddr: Pointer): Boolean;
var
Peb: PPeb;
hProcess, hImporter: THandle;
pOptHdr: PImageOptionalHeader;
pImpDir: PImageImportDescriptor;
pExpDir: PImageExportDirectory;
pIATEntry: PImageThunkData;
pOldProcAddr: Pointer;
pdwNamePtr, pdwEntryPoint: PDWord;
pName: PChar;
pwOrdinalPtr: PWord;
i, nOrdinal, dwNewProcAddrRVA, dwProtect: DWord;
pLdrData : PPEB_LDR_DATA;
pLoadOrderList : PPLIST_ENTRY;
pInLoadModuleEntry: PModuleEntry;
pModuleNfo: PModuleInfo;
pImpModuleNfo: PModuleInfo;
sModuleName: String;
dwDirSize: DWord;
begin
Result := False;
if (hModule = 0) or (lpProcName = nil) then Exit;
peb := GetCurrentPEB;
LockLoader(Peb);
try
pModuleNfo := FindModuleInfo(hModule);
if not Assigned(pModuleNfo) then Exit;
sModuleName := WideCharToString(pModuleNfo^.BaseDllName.Buffer);
pOptHdr := PImageOptionalHeader(hModule + PImageDosHeader(hModule)._lfanew + SIZE_OF_NT_SIGNATURE + IMAGE_SIZEOF_FILE_HEADER);
dwDirSize := pOptHdr.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].Size;
if (pOptHdr^.NumberOfRvaAndSizes < 16) or (dwDirSize = 0) then Exit;
pExpDir := PImageExportDirectory(hModule + pOptHdr.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);
pdwEntryPoint := nil;
pwOrdinalPtr := PWord(hModule + DWord(pExpDir^.AddressOfNameOrdinals));
if HiWord(DWord(lpProcName)) = 0 then
begin
nOrdinal := LoWord(DWord(lpProcName)) - pExpDir^.Base;
if (nOrdinal < pExpDir^.NumberOfFunctions) then
pdwEntryPoint := PDWord(hModule + DWord(pExpDir^.AddressOfFunctions) + nOrdinal * SizeOf(PDWord));
end
else
begin
pdwNamePtr := PDWord(hModule + DWord(pExpDir^.AddressOfNames));
for i := 0 to pExpDir^.NumberOfNames - 1 do
begin
pName := PChar(PDWord(hModule + PDword(pdwNamePtr)^));
if lstrcmp(pName,lpProcName) = 0 then
begin
nOrdinal := pwOrdinalPtr^;
pdwEntryPoint := PDWord(hModule + DWord(pExpDir^.AddressOfFunctions) + nOrdinal * SizeOf(PDWord));
Inc(nOrdinal, pExpDir^.Base);
Break;
end
else
begin
Inc(pdwNamePtr);
Inc(pwOrdinalPtr);
end
end;
end;
if not Assigned(pdwEntryPoint) then Exit;
pOldProcAddr := Pointer(hModule + pdwEntryPoint^);
if pOldProcAddr = pProcAddr then
Result := True
else
try
dwNewProcAddrRVA := DWord(pProcAddr) - hModule;
hProcess := OpenProcess(PROCESS_VM_OPERATION, False, GetCurrentProcessId);
Win32Check(hProcess <> 0);
try
Win32Check(VirtualProtectEx(hProcess, pExpDir, dwDirSize, PAGE_WRITECOPY, dwProtect));
try
pdwEntryPoint^ := dwNewProcAddrRVA;
finally
VirtualProtectEx(hProcess, pExpDir, dwDirSize, dwProtect, dwProtect);
end;
pName := PChar(sModuleName);
pLdrData := Peb^.LdrData;
pLoadOrderList := @pLdrData.InLoadOrderModuleList;
pInLoadModuleEntry := PModuleEntry(pLoadOrderList^);
while PPListEntry(pInLoadModuleEntry) <> pLoadOrderList do
begin
pImpModuleNfo := @pInLoadModuleEntry.ModuleInfoData;
if pImpModuleNfo <> pModuleNfo then
begin
hImporter := THandle(pImpModuleNfo^.DllBase);
pOptHdr := PImageOptionalHeader(hImporter + PImageDosHeader(hImporter)._lfanew + SIZE_OF_NT_SIGNATURE + IMAGE_SIZEOF_FILE_HEADER);
if pOptHdr^.NumberOfRvaAndSizes = 16 then
begin
dwDirSize := pOptHdr^.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Size;
if dwDirSize > 0 then
begin
pImpDir := PImageImportDescriptor(hImporter + pOptHdr^.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);
while Assigned(PChar(pImpDir^.RVAImportModuleName)) do
begin
if lstrcmpi(PChar(hImporter + pImpDir^.RVAImportModuleName), pName) = 0 then
begin
pIATEntry := PImageThunkData(hImporter + DWord(pImpDir^.RVAImportAddressTable));
while Assigned(pIATEntry^.Func) do
begin
if pIATEntry^.Func = pOldProcAddr then
begin
Win32Check(VirtualProtectEx(hProcess, pIATEntry, SizeOf(pIATEntry), PAGE_WRITECOPY, dwProtect));
try
pIATEntry^.Func := pProcAddr;
finally
VirtualProtectEx(hProcess, pIATEntry, SizeOf(pIATEntry), dwProtect, dwProtect);
end;
Break;
end;
Inc(pIATEntry);
end;
end;
Inc(pImpDir);
end;
end;
end;
end;
pInLoadModuleEntry := PModuleEntry(pInLoadModuleEntry.InLoadOrderLinks.Flink);
end;
finally
CloseHandle(hProcess);
end;
Result := True;
except
end;
finally
UnLockLoader(Peb);
end;
end;

а вокруг него - обвязка из определений ОГРОМНОЙ КУЧИ типов ... попробу испугаться ?

> CloseHandle(hProcess);
> end;
> Result := True;
> except
> end;
> finally
> UnLockLoader(Peb);
> end;
> end;

Какой кашмар!!!! ;-)

Подмена WinAPI функции в своём приложении. Найти похожие ветки