Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| |
Новая статья: Перехват вызовов функций. 26.10.01 11:51 Число просмотров: 934
Автор: SerpentFly <Vadim Smirnov> Статус: Member
|
> если мне нужно посмотреть весь путь который проходит запрос
> к примеру от функции ReadFile до самого низа и обратно,
> т.е. отслеживать вызовы внутренних процедур ОС углубляясь
> все дальше и дальше и возвращаясь обратно на верх ...
В полном обьеме не так просто как ты думаешь, а для драйверов например вот http://www.ntndis.com/downloads/DevFilter.zip, работает с NT 4.0 и выше.
|
|
<programming>
|
Новая статья: Перехват вызовов функций. 25.10.01 04:50
Автор: ggg <ggg> Статус: Elderman
|
Новая статья: Перехват вызовов функций.
В статье приводится описание одного из способов перехвата вызовов функций. Описываемый механизм перехвата - замена первых 5 байт перехватываемой функции на код команды jmp. Обсуждаются некоторые важные моменты, возникающие при реализации перехвата. Исходный текст на C++ варианта ловушки прилагается.
Ознакомиться можно здесь: http://www.uinc.ru/articles/26/index.shtml
http://www.uinc.ru/articles/26/index.shtml
|
|
Новая статья: Перехват вызовов функций. 26.10.01 10:47
Автор: Лamo Статус: Незарегистрированный пользователь
|
Чо то я ничо не понимаю!
Или у меня чтото не работает или эта прога не работает,
Комилю прогу,
и она мне выводит мессагбоксы
Calling MessageBox() 1
второй мессагбокс
Calling MessageBox() 2
и третий мессагбокс
Calling MessageBox() 3
Так должно и быть?
сюдя по коду мессагбокс Calling MessageBox() 2 должен заменятся на другое, но чото этого не происходит
Поправтеменя если я чонить не понял
|
| |
Новая статья: Перехват вызовов функций. 26.10.01 15:52
Автор: ggg <ggg> Статус: Elderman
|
последовательность дейстий при которой точно работает :
(если что то делаешь не так, то разбирайся сам)
1) скачиваешь (! мало ли чего ты там наменял) архив с исходниками
2) распаковываешь его
3) даблкликаешь файл apihook.dsp
4) в VC нажимаешь Ctrl+F5 или на тулбаре кнопочку с красным восклицательным знаком :)
всё должно работать
|
| | |
Новая статья: Перехват вызовов функций. 26.10.01 16:42
Автор: Лamo Статус: Незарегистрированный пользователь
|
> последовательность дейстий при которой точно работает :
> (если что то делаешь не так, то разбирайся сам)
> 1) скачиваешь (! мало ли чего ты там наменял) архив с
> исходниками
> 2) распаковываешь его
> 3) даблкликаешь файл apihook.dsp
> 4) в VC нажимаешь Ctrl+F5 или на тулбаре кнопочку с красным
> восклицательным знаком :)
>
> всё должно работать
Всё так и сделал. скачал файл с www.uinc.ru
кликнул по apihook.dsp
нажал на Ctrl + F5
Оно скомпилилось и запустилось,
а дальше было то, о чом я уже писал выше
НУ не работает она!!
|
| | | |
Новая статья: Перехват вызовов функций. 26.10.01 17:42
Автор: ggg <ggg> Статус: Elderman
|
у меня работает
судя по тому, что больше никто не пишет про глюк и у других работает
если хочешь можешь попробовать посмотреть в дебагере где происходит ошибка:
1) входишь в функцию CAPIHook::Attach()
2) смотришь какая из функций Win32 обламывается
3) посмотри какой код ошибки возвращает ::GetLastError()
|
| | | | |
Новая статья: Перехват вызовов функций. 26.10.01 17:59
Автор: Лamo Статус: Незарегистрированный пользователь
|
При трассировке при входе в Attach оно нигде не возвращает false, но при трассировке нельзя вызвать мессагбокс после аттача, типа Can't traced to dll
А не трейся пишу так:
bool rez = hook.Attach(GetCurrentProcess(), MessageBox, (void*)0x400000,Hook, 55555);
if(rez == false)
{
char buf[0x100];
sprintf(buf, "%d", hook.GetStatus());
MessageBox(NULL, buf, "error", MB_OK);
}
Код ошибки 87
|
| | | | | |
Новая статья: Перехват вызовов функций. 26.10.01 21:08
Автор: Лamo Статус: Незарегистрированный пользователь
|
Кароче вылетаю вот сдесь:
// enable writing operation
if(!VirtualProtectEx(m_Process, addrOfAPI, 5, PAGE_EXECUTE_READWRITE, &m_OldProtectAPI))
{
m_Status = ::GetLastError();
return false;
}
|
| | | | | | |
кажется понял 26.10.01 21:46
Автор: ggg <ggg> Статус: Elderman
|
у тебя в9х ?
там не получится перехватить функции некоторых системных длл
которые лежат в диапазоне адресов 0x80000000 - 0xBFFFFFFF
user32.dll как раз там лежит
в статье об этом написано
наверно пример я не удачный привёл
у меня просто в в2к всё работало :)
но ws2_32.dll например не попадает в эти адреса :)
можешь попробовать там что-нибудь перехватить
удачи
|
| | | | | | | |
кажется понял 26.10.01 23:02
Автор: Лamo Статус: Незарегистрированный пользователь
|
ну вот!!
да у меня 98 маздай,
И кстати, на щот ws2_32.dll - это клёвая идея!!
Вот тока у меня вопросы, переход на адресс такой же ставить - 0x400000??
|
| | | | | | | | |
кажется понял 26.10.01 23:33
Автор: Лamo Статус: Незарегистрированный пользователь
|
и вообще, ты не мог бы написать пример со скажем recv ??
А то у меня чото не выходит
|
| | | | | | | | | |
Червяка решил писать ;). 27.10.01 01:20
Автор: Heromantor Статус: Незарегистрированный пользователь
|
|
|
| | | | | | | | | |
кажется понял 27.10.01 00:13
Автор: ggg <ggg> Статус: Elderman
|
да напишу полный пример не только с перехватом функции, но и с нормальным внедрением длл
только чуть попозже
может через несколько дней
щас времени нет
|
| | | | | | | | | | |
и ещо 27.10.01 01:06
Автор: Лamo Статус: Незарегистрированный пользователь
|
|
Что будет, если скажем функция ,которая перехватывается, вызывается одновременно , скажем из разных потоков??
|
| | | | | | | | | | | |
и ещо 27.10.01 01:50
Автор: ggg <ggg> Статус: Elderman
|
> Что будет, если скажем функция ,которая перехватывается,
> вызывается одновременно , скажем из разных потоков??
вероятность того, что одновременно будут выполняться ловушки в обоих потоках очень мала (хотя конечно от перехватываемой функции зависит)
даже если такое произойдёт, то вероятнее всего, что один из потоков вызовет правильную функцию (не вызовется ловушка)
щас думаю можно ли это обойти... :)
|
| | | | | | | | | | | | |
и ещо 27.10.01 02:31
Автор: Лamo Статус: Незарегистрированный пользователь
|
Чо то я не могу перехватить функцию из другого процесса,
почему?? Возможно ли это?
|
| | | | | | | | | | | | | |
и ещо 27.10.01 02:40
Автор: ggg <ggg> Статус: Elderman
|
> Чо то я не могу перехватить функцию из другого процесса,
> почему?? Возможно ли это?
напиши подробно что делаешь
со всеми деталями
лучше весь код (если не много) :)
|
| | | | | | | | | | | | | | |
и ещо 27.10.01 09:48
Автор: Лamo Статус: Незарегистрированный пользователь
|
Кароче я в вызове Attach меняю хендл, GetCurrentProcess
на свою функцию получения процесса:
#include <tlhelp32.h>
typedef HANDLE (WINAPI *CREATETOOL)(DWORD,DWORD);
typedef BOOL (WINAPI *FIRST32)(HANDLE,LPPROCESSENTRY32);
typedef BOOL (WINAPI *NEXT32)(HANDLE,LPPROCESSENTRY32);
CREATETOOL CreateToolhelp32Snapshot;
FIRST32 Process32First;
NEXT32 Process32Next;
HANDLE h_th;
HINSTANCE h;
PROCESSENTRY32 pe;
h = LoadLibrary("kernel32.dll");
if(h)
{
CreateToolhelp32Snapshot = (CREATETOOL)GetProcAddress(h, "CreateToolhelp32Snapshot");
Process32First = (FIRST32)GetProcAddress(h, "Process32First");
Process32Next = (NEXT32) GetProcAddress(h, "Process32Next");
if((!Process32Next)|(!Process32First)|(!CreateToolhelp32Snapshot))
{
FreeLibrary(h);
return 0;
}
h_th = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
pe.dwSize = sizeof(pe);
if(!Process32First(h_th, &pe))
{
FreeLibrary(h);
return 0;
}
do
{
CharLower(pe.szExeFile);
if((strstr(pe.szExeFile, path)) && (GetCurrentProcessId() != pe.th32ProcessID))
{
FreeLibrary(h);
return OpenProcess(PROCESS_ALL_ACCESS, FALSE, pe.th32ProcessID);
}
}
while(Process32Next(h_th, &pe))
;
}
return 0;
Если свой процесс, то всё работает, с чужим - нифига!!
|
| | | | | | | | | | | | | | | |
и ещо 27.10.01 10:19
Автор: ggg <ggg> Статус: Elderman
|
сделал пример работы с другим процессом
скоро статья обновится
если хочешь раньше - оставь мыло - пришлю
перехватываю MessageBox, поэтому в в9х это не будет работать :)
но по примеру можешь перехватить любую другую функцию из других длл
(только функция, вызываемая из основной ловушки, у меня тоже на ассемблере написана)
|
| | | | | | | | | | | | | | | | |
и ещо 27.10.01 13:43
Автор: Лamo Статус: Незарегистрированный пользователь
|
|
кинь на myrmidon@mail.ru
|
| | | | | | | | | | | |
[Win32] и ещо 27.10.01 01:10
Автор: NeuronViking Статус: Незарегистрированный пользователь
|
> Что будет, если скажем функция ,которая перехватывается,
> вызывается одновременно , скажем из разных потоков??
а ниче ;) ... веренее все что угодно.. а вот если ты будешь использовать объекты синхронизации типа критических секций то вызовы из разных потоков будут упорядочены и все будет работать намана... тока не забывай о взаимной блокировке.. :)))
|
|
|
подробно о проекте
Анализ криптографических сетевых...
