Execute Hook

**Sanguis**

Guten Morgen,

ich hoffe ich schreibe hier ins richtige Forum. Falls nicht, bitte verschieben.

Es geht mir um einen execute Hook. Und zwar um einen bestimmten. Gefunden habe ich ein Beispiel heir:

http://www.michael-puff.de/dirindex..../Importe/toms/

Dies gucke ich mir auch schon seit ca. einer Woche an. Was ich da sehe gefällt mir, das sind schöne Möglichkeiten. Ein Problem habe ich allerdings. In dem Beispiel wird, wenn man ein Programm öffnet, ein kleines Abfragefenster als popup geöffnet. Dies zeigt den Namen/Pfad der Anwendung an, die versucht sich zu öffnen und fragt ob man das wirklich zulassen will.
Soweit so gut.
Ich habe mir jetzt eine kleine Funktion geschrieben die diesen Teil abändern soll. Diese Funktion ( if isOnWhitList(string) = '1' then ) öffnet eine Datei und guckt ob in dieser das Programm gelistet ist, welches starten will. Falls ja, gibt es eben '1' zurück.
Das Problem ist jetzt, das mir dabei der explorer abstürzt und ich einfach den Grund dafür nicht finde.
Ich habe erst vermutet das es irgendwie am Zugriff auf die Datei liegt, in der ich die erlaubten Programme festlege. Dann ist mir aber aufgefallen das, wenn der explorer nicht im Hintergrund läuft, der Hook einwandfrei funktioniert, wie ich es gern hätte.

Woran kann das liegen? Ich bräuchte halt den explorer weiterhin im Hintergrund.

Hoffe das mir hier jemand helfen kann.

Gruß,
Andreas

**ghost007**

hallo,
ich hab mit den gleichen hook mal angeschaut, siehe anhang.
Aber ich begreif ihn nicht

Wo wird da festgestellt, welche anwendung gestartet wird?
Und ob sie "notpad" ist ?

MfG - Ghost007

**Zacherl**

Ich vermute mal es wird CreateProcess, ShellExecute und WinExec gehookt. Vielleicht nocht NtCreateProcess .. all dieses APIs besitzen einen Parameter der die Befehlszeile übergibt.
Daraus kannst du den Dateinamen ermitteln ..

**ghost007**

öhm, ok und weiter? könntest du dich vll etwas auf das beispiel aus dem anhang beziehen?

danke

MfG - Ghost007

**wicht**

In der HookUnit.pas:

markieren

Delphi-Quellcode:

			function NewShellExecute(hWnd: HWND; Operation, FileName, Parameters, Directory: PChar; ShowCmd: Integer): HINST; stdcall;

begin

  Result := 0;

  if Windows.MessageBox(0, PChar('Soll ' + Directory + FileName + ' ausgeführt werden?'), '[ShellExecute Hooked]', MB_OKCANCEL) = IDOK then

    Result := OldShellExecute(hwnd, Operation, FileName, Parameters, Directory, ShowCmd);

end;

Alle Funktionen, deren Namen dort mit "New" anfangen, sind die, die anstelle der "richtigen" Funktionen aufgerufen werden. Und da sind ja die Argumente bei, z.B. FileName und Directory..

**ghost007**

ah,
ok. danke

werd mir des mal anschaun.

MfG - Ghost007

**ghost007**

du hattest recht

noch ne kleine frage, hab hier im forum schonmal gesucht, aber leider nichts gefunden.
Gibts auch sowas wie nen close/terminate hook?

MfG - Ghost007

**ghost007**

*PUSH*

**markusj**

Klar, du Hookst "einfach" Terminate Process

mfG
Markus

PS: Ich kämpfe gerade mit der selben Materie

**ghost007**

Zitat von markusj:

Klar, du Hookst "einfach" Terminate Process

mfG
Markus

PS: Ich kämpfe gerade mit der selben Materie

Hi,
hab mich nach langer zeit mal wieder hingesetzt und den execute hook für meine bedürfnisse perfektioniert

Jetzt ist aber wieder die frage nach einem terminate hook aufgetaucht. Ich habs auch schon versucht indem ich den execute hook mit terminate "nachbau" ... aber ich hab, denk ich, schlicht zu wenig ahnung von dem terminate befehl ... bist du evtl schon weiter gekommen? oder hat irgend jmd ne idee?

MfG - Ghost007

Execute Hook

Execute Hook

Re: Execute Hook

Re: Execute Hook

Re: Execute Hook

Re: Execute Hook

Re: Execute Hook

Re: Execute Hook

Re: Execute Hook

Re: Execute Hook

Re: Execute Hook

Forumregeln

Zacherl Registriert seit: 3. Sep 2004 4.629 Beiträge Delphi 10.2 Tokyo Starter	#3 Re: Execute Hook 21. Mai 2007, 21:48 Ich vermute mal es wird CreateProcess, ShellExecute und WinExec gehookt. Vielleicht nocht NtCreateProcess .. all dieses APIs besitzen einen Parameter der die Befehlszeile übergibt. Daraus kannst du den Dateinamen ermitteln .. Projekte: - GitHub (Profil, zyantific) - zYan Disassembler Engine ( Zydis Online, Zydis GitHub)
	Zitat

ghost007 Registriert seit: 31. Okt 2005 Ort: München 1.024 Beiträge Delphi 7 Personal	#4 Re: Execute Hook 21. Mai 2007, 22:31 öhm, ok und weiter? könntest du dich vll etwas auf das beispiel aus dem anhang beziehen? danke MfG - Ghost007 Christian Es gibt möglich Dinge und unmöglich Dinge. Für unmögliche braucht man lediglich etwas länger.
	Zitat

ghost007 Registriert seit: 31. Okt 2005 Ort: München 1.024 Beiträge Delphi 7 Personal	#6 Re: Execute Hook 22. Mai 2007, 12:41 ah, ok. danke werd mir des mal anschaun. MfG - Ghost007 Christian Es gibt möglich Dinge und unmöglich Dinge. Für unmögliche braucht man lediglich etwas länger.
	Zitat

ghost007 Registriert seit: 31. Okt 2005 Ort: München 1.024 Beiträge Delphi 7 Personal	#7 Re: Execute Hook 22. Mai 2007, 19:35 du hattest recht noch ne kleine frage, hab hier im forum schonmal gesucht, aber leider nichts gefunden. Gibts auch sowas wie nen close/terminate hook? MfG - Ghost007 Christian Es gibt möglich Dinge und unmöglich Dinge. Für unmögliche braucht man lediglich etwas länger.
	Zitat

ghost007 Registriert seit: 31. Okt 2005 Ort: München 1.024 Beiträge Delphi 7 Personal	#8 Re: Execute Hook 23. Mai 2007, 21:14 *PUSH* Christian Es gibt möglich Dinge und unmöglich Dinge. Für unmögliche braucht man lediglich etwas länger.
	Zitat

markusj Registriert seit: 9. Dez 2005 Ort: Kandel 408 Beiträge	#9 Re: Execute Hook 28. Mai 2007, 21:44 Klar, du Hookst "einfach" Terminate Process mfG Markus PS: Ich kämpfe gerade mit der selben Materie Markus
	Zitat