Juten Tach!
Ich habe mir mal etwas zusammen gebastelt: Eine DLL welche in einen fremnden Prozess injected wird, und anschließend verschiedene API-Funktionen Hook. An der Funktion wird nichts verändert, lediglich in eine Textdatei geschrieben, ob die Funktion ausgeführt wurde - sprich in der Text Datei steht folgendes:

Zitat:

SendTo
RecvFrom
RecvFrom
RecvFrom
Send
SendTo
Recv
Recv

Die DLL habe ich zu Testzwecken in PidGin injectet - und alles funktioniert einwandfrei. Da ich vorhabe, Warcraft 3 Packete von bestimmten IP Adressen zu blockieren, sodass diese meinem Spiel nicht mehr beitreten können - sprich eine Art Banlist - dachte ich, ich injecte die DLL einfach mal in Warcraft 3.
Gesagt getan.

Nachdem eine der obigen Funktionen ausgeführt wurde, steht diese auch in der Textdatei, jedoch stürtzt danach sofort Warcraft 3 ab.



Frage: Warum stürtzt Pidgin nicht ab - Warcraft 3 hingegen sofort nachdem eine Funktion ausgeführt wurde?

@napsterxx: Du hast unsere Nutzungsbedingungen immer noch nicht Gelesen/Verstanden?

Wo ist denn das Problem?
Gehören, Injections und Hooks etwa zur "dunklen Seite der Macht"?

Keyboard Hooks und alles wird hier freizügig verteilt (Keylogger) ...
Bei ServerSocket und ClientSocket hilft jeder - aber man kann damit auch bööse Sachen anstellen (RAT)...

Hätte ich gesagt, ich injiziere die DLL in eins meiner Programme und darauf hin crasht es, so hätte ich alle Antworten bekommen die ich brauche. Muss ich erst anfangen meine Beiträge Tagelang à la "Social Engeneering" zu verschleiern?


Ich möchte eine Banlist programmieren - keine Manipulation tätigen. Ich habe extra den Source für mich behalten, es gibt bestimmt Kinder die ihn kopieren und vielleicht etwas damit manipulieren. Wenn man genau hinsieht, bekommt man jegliche Informationen über das erstellen eines Trojaners - hier im Forum!

Hat er nicht ganz unrecht mit, Markus..

Seit dem 02.05.2008 beschäftige ich mich mit Sniffern. Mein Anliegen ist, für die Spieleplattform eine Konfortable Banlist für das Spiel Warcraft 3 zu entwickeln - nur auf Grund dieser Idee, sitze ich schon mehr als ein Jahr dahinter. Ich habe einen Sniffer programmiert welcher mir alle Warcraft 3 Pakete analysiert und formatiert den Inhalt ausgibt - und das war weis Gott nicht einfach!
Ich hänge lediglich daran, gebannten Spielern den Zugang zu meinem Spiel zu verwehren. Zunächst dachte ich, ich sende ein eigenes Paket, was jedoch nach etlichen Versuchen fehl schlug.
Ich entschloss mich andere Wege zu suchen und bin letztenendes bei den Hooks stehen geblieben. Nach weiterer sehr langen Suche bin ich endlich so weit, das ich die API Calls hooken kann.

Das einzig seltsame ist - und das möchte ich bitte beantwortet kommen, warum stürtzt das Spiel ab?

markieren

Delphi-Quellcode:

Function Hook_SendTo( *****: *****; *****, *****, *****: *****; *****: *****; *****: *****): *****; StdCall;
Begin
  WriteToFile('Hook_SendTo');
  Result := HookNew_SendTo( *****, *****, *****, *****, *****, *****);
End;

Ich hoffe ich habe nicht vergessen etwas zu zensieren

Wie dem auch sei, verändere ich den Code in der Hinsicht:

Result := 1; So stürtzen die Programme erst beim "Unhooken" ab.

Wie sieht WriteToFile aus?

MfG

An der Funktion kann es nicht liegen, wenn ich die Aufrufe dieser Funktion auskommentiere stürtzt Warcraft 3 dennoch ab.

Wie hookst Du? Code Overwriting? IAT? EAT? Winsock hat einige spezielle Checks ob Hooks aktiv sind oder nicht, die bestimmte Hookarten erkennen. Daher die Frage.
Wie sehen die Funktionsdefinitionen aus? Unhooking ist übrigens auch eine relativ schlechte Idee. Es gibt dutzende Stolperfallen durch Threading etc.. Ich würd da von abraten.

Deine Log Funktion ist übrigens nicht Thread Safe.

Prinzipiell sollte man die Funktionalität die Du anstrebst übrigens auch komplett ohne Hooks implementieren können. Sofern Du das denn möchtest ...

Ich möchte einen Paketversand zu einer IP XY blockieren - wie dies nun geschiet ist mir gleichgültig, jedoch scheidet das versenden von eigenen Paketen aus. Hooks oder nicht? => Keine Ahnung was eine gute Lösung ist.

IAT habe ich mir überlegt.

Hook wird via uAllHook getätigt.

markieren

Delphi-Quellcode:

  @HookOrg_SendTo := GetProcAddress(LoadLibrary('ws2_32.dll'),'sendto');
  HookCode(@HookOrg_SendTo, @Hook_SendTo,@HookNew_SendTo);

Wie sieht:
HookOrg_SendTo, Hook_SendTo, HookNew_SendTo aus?

Welchen Virenscanner hast du? Bzw. kannst du mal einen Dump von SendTo in Ollydbg machen? Ansonsten versuch mal zuerst nen Import hook.