Форум АНТИЧАТ - хук внутренней функции PE файла

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- С/С++, C#, Delphi, .NET, Asm (https://forum.antichat.xyz/forumdisplay.php?f=24)

- - хук внутренней функции PE файла (https://forum.antichat.xyz/showthread.php?t=169518)

qsd	09.01.2010 20:11

хук внутренней функции PE файла

Подскажите пожалуйста как можно хукнуть неимпортируемую ни из каких длл функцию, коей к примеру является LoadURI() в firefox?

ntldr

09.01.2010 20:19

точно так же, предварительно узнав её виртуальный адрес

qsd	10.01.2010 20:03

дак в том то и проблема - как узнать адрес?)

W!z@rD

10.01.2010 20:41

GetProcAddress

это чтоль?

Ra$cal

10.01.2010 20:48

не. дизасмить тока. и искать по косвенным признакам(строковым литералам, вызываемым функциям). можно сбилдить версией компилера как у авторов тока с пдб файлов или мап файлом и так найти. тут ограничение тока в фантазии.

qsd	10.01.2010 21:39

а насколько все эти фантастические методы надежны?) мне бы хукнуть loadURI у фф, а версий у него ой как много(

flacs

10.01.2010 22:28

думаю наилучшим решением станет поиск сигнатур начала функции, наподобие того алгоритма что изпользуется в PEID, для определения сигнатуры компилятора

к примеру, сигнатура
push ebp/mov ebp esp
Юзается для подготовки стека, в Delphi компиляторах, в С++ немного другой метод изпользуется там стек по другому иcпользуется (add/sub esp, n)

Gar|k

11.01.2010 13:56

Я думаю и в дебагере можно увидеть... у тебя же есть вроде описание функции (ну всмысле, что она делает) если например реагирует на ввод ставишь бряк на GetWindowText и ей подобных... думаю должно словится... хотя... в общем муторно

flacs

11.01.2010 15:11

Все это долго и муторно (
Предлагаю вариант попроще
Не надо брякать эту функцию LoadURI
В формировании строк почти всегда изпользуется функция wssprintA

есть вариант ставить бряк на wssprintA и ловить строки содежащие подстроки
[http://, ftp://, javastript://, https://], и подменять их своими значенями

sn0w	12.01.2010 18:55

по паттерну например так

Код:

BOOL utilsCompareData(const BYTE* pData, const BYTE* bMask, const char* pszMask)

{

        for(;*pszMask; ++pszMask, ++pData, ++bMask)

                if(*pszMask == 'x' && *pData !=* bMask ) 

                        return FALSE;

        return (*pszMask) == 0;

}



//////////////////////////////////////////////////////////////////////////

DWORD utilsFindPattern(DWORD dwAddress, DWORD dwLen, BYTE *bMask, char * pszMask)

{

        for(DWORD i=0; i < dwLen; i++)

                if(utilsCompareData((BYTE*)( dwAddress+i ), bMask, pszMask ))

                        return (DWORD)(dwAddress + i);



        return 0;

}

dwDecode = utilsFindPattern( (DWORD)(pDosHdr)+pSecHdr->VirtualAddress, pSecHdr->SizeOfRawData,
(BYTE*)"\x51\x53\x55\x8B\x6C\x24\x10\x56\x8B\x74\x 24\x20\x57","xxxxxxxxxxxxx");

Время: 14:05