PDA

Просмотр полной версии : хук внутренней функции PE файла

qsd
09.01.2010, 20:11
Подскажите пожалуйста как можно хукнуть неимпортируемую ни из каких длл функцию, коей к примеру является LoadURI() в firefox?
ntldr
09.01.2010, 20:19
точно так же, предварительно узнав её виртуальный адрес
qsd
10.01.2010, 20:03
дак в том то и проблема - как узнать адрес?)
W!z@rD
10.01.2010, 20:41
GetProcAddress

это чтоль?
Ra$cal
10.01.2010, 20:48
не. дизасмить тока. и искать по косвенным признакам(строковым литералам, вызываемым функциям). можно сбилдить версией компилера как у авторов тока с пдб файлов или мап файлом и так найти. тут ограничение тока в фантазии.
qsd
10.01.2010, 21:39
а насколько все эти фантастические методы надежны?) мне бы хукнуть loadURI у фф, а версий у него ой как много(
flacs
10.01.2010, 22:28
думаю наилучшим решением станет поиск сигнатур начала функции, наподобие того алгоритма что изпользуется в PEID, для определения сигнатуры компилятора

к примеру, сигнатура
push ebp/mov ebp esp
Юзается для подготовки стека, в Delphi компиляторах, в С++ немного другой метод изпользуется там стек по другому иcпользуется (add/sub esp, n)
Gar|k
11.01.2010, 13:56
Я думаю и в дебагере можно увидеть... у тебя же есть вроде описание функции (ну всмысле, что она делает) если например реагирует на ввод ставишь бряк на GetWindowText и ей подобных... думаю должно словится... хотя... в общем муторно
flacs
11.01.2010, 15:11
Все это долго и муторно (
Предлагаю вариант попроще
Не надо брякать эту функцию LoadURI
В формировании строк почти всегда изпользуется функция wssprintA

есть вариант ставить бряк на wssprintA и ловить строки содежащие подстроки
[http://, ftp://, javastript://, https://], и подменять их своими значенями
sn0w
12.01.2010, 18:55
по паттерну например так


BOOL utilsCompareData(const BYTE* pData, const BYTE* bMask, const char* pszMask)
{
for(;*pszMask; ++pszMask, ++pData, ++bMask)
if(*pszMask == 'x' && *pData !=* bMask )
return FALSE;
return (*pszMask) == 0;
}

//////////////////////////////////////////////////////////////////////////
DWORD utilsFindPattern(DWORD dwAddress, DWORD dwLen, BYTE *bMask, char * pszMask)
{
for(DWORD i=0; i < dwLen; i++)
if(utilsCompareData((BYTE*)( dwAddress+i ), bMask, pszMask ))
return (DWORD)(dwAddress + i);

return 0;
}

dwDecode = utilsFindPattern( (DWORD)(pDosHdr)+pSecHdr->VirtualAddress, pSecHdr->SizeOfRawData,
(BYTE*)"\x51\x53\x55\x8B\x6C\x24\x10\x56\x8B\x74\x24\x20\x 57","xxxxxxxxxxxxx");