AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Netzwerke Delphi Hooken der RecvFrom() Methode mittels uALLCollection

Hooken der RecvFrom() Methode mittels uALLCollection

Ein Thema von C0pa · begonnen am 3. Jun 2010 · letzter Beitrag vom 9. Jun 2010
Antwort Antwort
Seite 1 von 2  1 2   
C0pa

Registriert seit: 25. Mai 2010
Ort: Laudenbach
23 Beiträge
 
#1

Hooken der RecvFrom() Methode mittels uALLCollection

  Alt 3. Jun 2010, 16:59
Ich sitze jetzt schon mehr als 20h an einem Funktionshook.

Delphi-Quellcode:
library hook;

uses
  SysUtils,
  Classes,
  Windows,
  uallHook,
  WinSock,
  Messages,
  Variants,
  WinSock2 in 'WinSock2.pas',
  IPC in 'IPC.pas';

{$R *.res}

type
  TsendMethod = function(s: TSocket; Buf : Pointer; Len, Flags: Integer): Integer; stdcall;
  TsendToMethod = function(s: TSocket; var Buf; len, flags: Integer; var addrto: TSockAddr; tolen: Integer): Integer; stdcall;
  TrecvMethod = function(s: TSocket; Buf : Pointer; Len, Flags: Integer): Integer; stdcall;
  TrecvFromMethod = function(s: TSocket; var Buf; len, flags: Integer; var from: TSockAddr; var fromlen: Integer): Integer; stdcall;

var
  orgiSend : TsendMethod;
  orgiRecv : TrecvMethod;
  orgiSendto : TsendToMethod;
  orgiRecvFrom : TrecvFromMethod;

procedure informMaster(func:Integer);
var
  data: TIPCData;
begin
  data.s := '';
  data.func := func;
  IPC.sendData(data);
end;

function callbackSend(s: TSocket; Buf : Pointer; Len, Flags: Integer): Integer; stdcall;
begin
  Result := orgiSend(s, Buf, Len, Flags);
  informMaster(1);
end;

function callbackSendTo(s: TSocket; var Buf; len, flags: Integer; var addrto: TSockAddr; tolen: Integer): Integer; stdcall;
begin
  Result := orgiSendTo(s, Buf, Len, Flags, addrto, tolen);
  informMaster(2);
end;


function callbackRecv(s: TSocket; Buf : Pointer; Len, Flags: Integer): Integer; stdcall;
begin
  Result := orgiRecv(s, Buf, Len, Flags);
  informMaster(3);
end;

function callbackRecvFrom(s: TSocket; var Buf; len, flags: Integer; var from: TSockAddr; var fromlen: Integer): Integer; stdcall;
begin
  Result := orgiRecvFrom(s, Buf, Len, Flags, from, fromlen);
  informMaster(4);
end;

procedure injectmain;
begin
  //MessageBox(0, 'Its me', '', 0);
  if not(HookApiIAT('ws2_32.dll', 'recvfrom',@callbackRecvFrom, @orgiRecvFrom)) then
  begin
    MessageBox(0, 'RecvFrom', '', 0);
  end;

  if not(HookApiIAT('ws2_32.dll', 'send',@callbackSend, @orgiSend)) then
  begin
    MessageBox(0, 'Send', '', 0);
  end;

  if not(HookApiIAT('ws2_32.dll', 'sendto',@callbackSendTo, @orgiSendTo)) then
  begin
    MessageBox(0, 'SendTo', '', 0);
  end;
  if not(HookApiIAT('ws2_32.dll', 'recv',@callbackRecv, @orgiRecv)) then
  begin
    MessageBox(0, 'Recv', '', 0);
  end;
end;

procedure uninjectmain;
begin
  //MessageBox(0, 'Bye!', '', 0);
  uallHook.UnHookApiIAT(@callbackSend, @orgiSend);
  uallHook.UnHookApiIAT(@callbackSendTo, @orgiSendTo);
  uallHook.UnHookApiIAT(@callbackRecv, @orgiRecv);
  uallHook.UnHookApiIAT(@callbackRecvfrom, @orgiRecvFrom);
end;


procedure dllmain(dwReason: integer);
begin
  case dwreason of
    DLL_PROCESS_ATTACH:
      injectmain;
    DLL_PROCESS_DETACH:
      uninjectmain;
  end;
end;

begin
  DLLProc := @DLLMain;
  DLLMain(1);
end.
Das ist die DLL. Also ich habe mit dem AppSniffer herrausgefunden, dass alle obenstehenden Funktionen genutzt werden, diese zeigt auch sämtliche nutzung mit Parametern etc an. Nun habe ich gedacht "hookste halt mal". Ein Mann ein Wort. Send(), SendTo() und Recv() werden erfolgreich gehookt. Das entnehme ich daraus, das bei meiner Hauptanwendung dieses "inform" ankommt. Aber recvFrom zickt total rum. Ich weis dass es definitiv ausgeführt wird, aber warum bekommt meine Hauptanwendung dies nicht mit?!

Grüße
  Mit Zitat antworten Zitat
Benutzerbild von Zacherl
Zacherl

Registriert seit: 3. Sep 2004
4.629 Beiträge
 
Delphi 10.2 Tokyo Starter
 
#2

Re: Völlige Verzweiflung: RecvFrom

  Alt 3. Jun 2010, 17:44
Versuchs mal mit inline Hooks. Die IAT Hooks arbeiten bei solchen Dingen öfters mal nicht zuverlässig.
  Mit Zitat antworten Zitat
C0pa

Registriert seit: 25. Mai 2010
Ort: Laudenbach
23 Beiträge
 
#3

Re: Völlige Verzweiflung: RecvFrom

  Alt 3. Jun 2010, 17:47
Damit gehts - aber auch nur teilweise.

Delphi-Quellcode:
library hook;

uses
  SysUtils,
  Classes,
  Windows,
  uallHook,
  WinSock,
  Messages,
  Variants,
  WinSock2 in 'WinSock2.pas',
  IPC in 'IPC.pas';

{$R *.res}

type
  TsendMethod = function(s: TSocket; Buf : Pointer; Len, Flags: Integer): Integer; stdcall;
  TsendToMethod = function(s: TSocket; var Buf; len, flags: Integer; var addrto: TSockAddr; tolen: Integer): Integer; stdcall;
  TrecvMethod = function(s: TSocket; Buf : Pointer; Len, Flags: Integer): Integer; stdcall;
  TrecvFromMethod = function(s: TSocket; var Buf; len, flags: Integer; var from: TSockAddr; var fromlen: Integer): Integer; stdcall;

var
  orgiSend, newSend : TsendMethod;
  orgiRecv, newRecv : TrecvMethod;
  orgiSendto, newSendTo : TsendToMethod;
  orgiRecvFrom, newRecvFrom : TrecvFromMethod;

procedure informMaster(func:Integer);
var
  data: TIPCData;
begin
  data.s := '';
  data.func := func;
  IPC.sendData(data);
end;

function callbackSend(s: TSocket; Buf : Pointer; Len, Flags: Integer): Integer; stdcall;
begin
  Result := newSend(s, Buf, Len, Flags);
  informMaster(1);
end;

function callbackSendTo(s: TSocket; var Buf; len, flags: Integer; var addrto: TSockAddr; tolen: Integer): Integer; stdcall;
begin
  Result := newSendTo(s, Buf, Len, Flags, addrto, tolen);
  informMaster(2);
end;


function callbackRecv(s: TSocket; Buf : Pointer; Len, Flags: Integer): Integer; stdcall;
begin
  Result := newRecv(s, Buf, Len, Flags);
  informMaster(3);
end;

function callbackRecvFrom(s: TSocket; var Buf; len, flags: Integer; var from: TSockAddr; var fromlen: Integer): Integer; stdcall;
begin
  Result := newRecvFrom(s, Buf, Len, Flags, from, fromlen);
  informMaster(4);
end;

procedure injectmain;
begin
  //MessageBox(0, 'Its me', '', 0);
  @orgiSend := GetProcAddress(LoadLibrary('ws2_32.dll'),'send');
  if not(HookCode(@orgiSend,@callbackSend,@newSend)) then
    MessageBox(0, 'Send()', 'Something went wrong!', 0);

  @orgiSendto := GetProcAddress(LoadLibrary('ws2_32.dll'),'sendto');
  if not(HookCode(@orgiSendto,@callbackSendto,@newSendTo)) then
    MessageBox(0, 'SendTo()', 'Something went wrong!', 0);

  @orgiRecv := GetProcAddress(LoadLibrary('ws2_32.dll'),'recv');
  if not(HookCode(@orgiRecv,@callbackRecv,@newRecv)) then
    MessageBox(0, 'Recv()', 'Something went wrong!', 0);

  @orgiRecvFrom := GetProcAddress(LoadLibrary('ws2_32.dll'),'recvfrom');
  if not(HookCode(@orgiRecvFrom,@callbackRecvFrom,@newRecvFrom)) then
    MessageBox(0, 'RecvFrom()', 'Something went wrong!', 0);
end;

procedure uninjectmain;
begin
  //MessageBox(0, 'Bye!', '', 0);
  UnhookCode(@newSend);
  UnhookCode(@newSendTo);
  UnhookCode(@newRecv);
  UnhookCode(@newRecvFrom);
end;


procedure dllmain(dwReason: integer);
begin
  case dwreason of
    DLL_PROCESS_ATTACH:
      injectmain;
    DLL_PROCESS_DETACH:
      uninjectmain;
  end;
end;

begin
  DLLProc := @DLLMain;
  DLLMain(1);
end.
Jetzt wird mir zwar angezeig, dass alles ausgeführt wurde, aber wenn ich die DLL Uninjecte stürtzt das Programm ab indem sich die DLL befand.
  Mit Zitat antworten Zitat
Benutzerbild von SirThornberry
SirThornberry
(Moderator)

Registriert seit: 23. Sep 2003
Ort: Bockwen
12.235 Beiträge
 
Delphi 2006 Professional
 
#4

Re: Völlige Verzweiflung: RecvFrom

  Alt 3. Jun 2010, 18:52
Kannst du deinem Beitrag bitte einen aussagekräftigen Titel geben? "Völlige Verzweiflung" sagt rein gar nichts über dein problem aus und "RecvFrom" sagt ebenso wenig über das eigentliche Problem aus. Mit einem aussagekräftigerem Titel stehen die Chancen bedeutend besser das jemand mit der Lösung auf dein Problem aufmerksam wird und Leute die später einmal das gleiche Problem haben finden über die Suchfunktion dann auch schneller dieses Thema und somit hoffentlich auch die Lösung.
Jens
Mit Source ist es wie mit Kunst - Hauptsache der Künstler versteht's
  Mit Zitat antworten Zitat
C0pa

Registriert seit: 25. Mai 2010
Ort: Laudenbach
23 Beiträge
 
#5

Re: Völlige Verzweiflung: RecvFrom

  Alt 3. Jun 2010, 19:30
Aber du willst nicht helfen?
  Mit Zitat antworten Zitat
brechi

Registriert seit: 30. Jan 2004
823 Beiträge
 
#6

AW: Hooken der RecvFrom() Methode mittels uALLCollection

  Alt 6. Jun 2010, 17:01
Bei welchem Aufruf stürzt denn das Programm ab? Du kannst ja mal MessageBoxes zwischen den einzelnen Unhooks machen.
  Mit Zitat antworten Zitat
Win32.API

Registriert seit: 23. Mai 2005
312 Beiträge
 
#7

AW: Hooken der RecvFrom() Methode mittels uALLCollection

  Alt 7. Jun 2010, 11:04
Ich werfe mal FlushInstructionCache in den Raum. Es könnte auch sein, dass Du den Code änderst und das Programm den halbfertigen Code ausführt.
  Mit Zitat antworten Zitat
C0pa

Registriert seit: 25. Mai 2010
Ort: Laudenbach
23 Beiträge
 
#8

AW: Hooken der RecvFrom() Methode mittels uALLCollection

  Alt 7. Jun 2010, 16:20
Teilweise ist es sogar so, dass ich die Funktionen hooke, dann zigg Pakete mitschneide und bei einem Paket X stürtzt die gehookte Anwendung ab. Der Fehler ist nicht reproduzierbar, da er einfach irgendwann auftritt, sicherlich gibt es dafür irgendeinen Grund - aber ich habe ihn noch nicht gefunden.
  Mit Zitat antworten Zitat
brechi

Registriert seit: 30. Jan 2004
823 Beiträge
 
#9

AW: Hooken der RecvFrom() Methode mittels uALLCollection

  Alt 7. Jun 2010, 19:39
Naja, ist das der komplette Code?
Und ist deine IPC auch ThreadSafe?
  Mit Zitat antworten Zitat
C0pa

Registriert seit: 25. Mai 2010
Ort: Laudenbach
23 Beiträge
 
#10

AW: Hooken der RecvFrom() Methode mittels uALLCollection

  Alt 7. Jun 2010, 22:35
Die Probleme treten auch dann auf, wenn ich keine Nachrichten an meine Hauptanwendung schicke. Und ja, es ist der ganze Code, nur der IPC teil wurde von mir in einer Unit ausgelagert. Den hänge ich morgen Nachmittag noch an.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 2  1 2   

Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 15:43 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz