Проблема с Read/WriteProcessMemory из разных модулей

← →
SPeller © (2010-01-26 05:28) [0]

Всем доброго времени суток!

Использую перехват API функций путем правки таблиц импорта. Использую пример с rsdn, переведенный в паскаль. Запись адресов перехватчиков производится через WriteProcessMemory во всех загруженных на текущий момент модулях, плюс перехват LoadLibrary и GetProcAddress чтобы править в них таблицы и подсовывать адреса перехватчиков во вновь загружаемых модулях. Всё работает отлично и замечательно на все 100%, проверено много раз.

Проблема возникла в том, что когда я пытаюсь сделать 2 перехватчика на одну и ту же функцию (один в ехе программы, второй в динамически загружаемой длл), то при вызове работает только второй. Оно вроде бы и логично, ведь он ставился вторым и затер значения, записанные первым хуком. Но беда в том, что когда я во втором хуке перед записью делаю ReadProcessMemory по тому адресу, куда собрался писать адрес перехватчика, я неизменно получаю оттуда адрес оригинальной системной функции. Хотя он на этот момент, по идее, должен был быть переписан на адрес перехватчика первым хуком.

Вот и вопрос - почему так и как побороть? Где грабли?

← →
Сергей М. © (2010-01-26 08:25) [1]

> один в ехе программы, второй в динамически загружаемой длл

У каждого PE-модуля своя таблица импорта.

> ReadProcessMemory по тому адресу, куда собрался писать адрес перехватчика, я неизменно получаю оттуда адрес оригинальной системной функции

Ну а что там еще быть должно, если конкретно к этой IAT ты обращаешься в первый раз ?

← →
SPeller © (2010-01-26 08:34) [2]

Похоже что проблема совсем в другом и проблема озвучена совершенно некорректно. Дело в том, что я не заметил что нахождение записи в таблице импорта происходит путем сравнения адреса каждой записи с адресом оригинала. Совпало - переписали. Вот и получается что второй хук не узнает, что за функция изначально крылась в записи таблицы, поскольку адрес там уже вписан левый.

Теперь вот прихожу к выводу что надо этот код перехвата выносить в одну общую длл, поскольку второму хуку не судьба узнать какие записи в таблицах были переписаны первым хуком.

← →
Сергей М. © (2010-01-26 08:37) [3]

> получается что второй хук не узнает, что за функция изначально
> крылась в записи таблицы

Так а зачем ты лезешь в IAT этого модуля два раза ?
Непонятно мне ..

← →
SPeller © (2010-01-26 08:43) [4]

Алгоритм пробегает по всем iat всех загруженных в данный момент модулей. Второй раз получить доступ хотелось для того, чтобы отрабатывали оба хука, а не только один

← →
Сергей М. © (2010-01-26 09:24) [5]

> Алгоритм пробегает по всем iat всех загруженных в данный
> момент модулей

Ну пробежал он один раз в момент Х. Заменил интересующие тебя точки входа на нужные, сохранив оригинальные.

Зачем второй-то раз по ним бежать ?

Ты же везде перехватил LoadLibrary, значит получил возможность отслеживать запросы на загрузку новых модулей. По факту обнаружения этих запросов ты вызываешь оригинальную LoadLibrary для запрошенного к загрузке модуля, впосле чего проверяешь, модифицирована ли уже тобой его IAT (т.е. модуль уже бы загружен в момент Х) и если нет, то модифицируешь.

← →
SPeller © (2010-01-26 09:47) [6]

В загружаемой библиотеке такой же код перехвата, как и в exe. И ему там совсем не известно, какие таблицы были модифицированы.

← →
Сергей М. © (2010-01-26 09:51) [7]

> В загружаемой библиотеке такой же код перехвата

Какой может быть "код перехвата" в произвольной библиотеке ?

← →
SPeller © (2010-01-27 00:41) [8]

Блин, я загружаю свою длл с таким же кодом перехвата, как и в ехе, который и переписывает импорты свои и то, что еще не успел переписать код в ехе. Получаются в одном процессе 2 конкурирующих перехватчика. Кто что успеет себе "урвать". Это есть плохо.

А в произвольной бибилиотеке функции перехватываются за счет того, что в программе уже глобально перехвачены вызовы LoadLibrary/Ex, и после вызова оригинала сразу же проверяется ее таблица импорта с целью поиска функций, которые нужно перехватить.

← →
Сергей М. © (2010-01-27 10:52) [9]

> загружаю свою длл с таким же кодом перехвата, как и в ехе

Нафига в программе два (!) модуля, делающих одно и то же ?)

Задача у них - перехватить функции, которые в процессе своей работы вызывает система, чтобы заменить логику работы системной функции своей логикой. Однин код использовал такой механизм в экзешнике, второй в дллке. Сейчас всё это вынес в одну общую длл, проблема ушла.

Удалено модератором
Примечание: Offtopic

Проблема с Read/WriteProcessMemory из разных модулей Найти похожие ветки