Конференция VBStreets

[xenomorph]

Привет всем!

Проблема:

Я занимаюсь прикручивания VB к универсальной библиотеке перехвата АПИ функций.
Проэкт: www.madshi.net

При использовании этой длл перехват любых АПИ превращаеться в тривиально простую
задачу.

В двух словах КАК это работает:

1. Библиотека перехвата АПИ - Delphi.
2. Инжекция либы во все процессы включая системные вызовом из ВБ приложения.
3. Создаётся IPC Queue внутри этого приложения.
4. При перехвате АПИ длл по IPC Queue вызывает функцию по указателю
внутри приложения инжектора, передавая внутрь параметры и указатель на
буфер для ответа.

Что у меня:

1. ДЛЛ для перехвата АПИ перехватывает.
2. Она успешно ВЫЗЫВАЕТ callback процедуру в модуле ВБ инжектора.

1) я НЕ МОГУ добраться до параметров /
2) я НЕ могу записать данные в буфер ответа.
--
Memory cannot be ... и дплее по тексту.

Передаются указатели на буферы.

Примеры:
1. Длл перехватывает:
CreateProcessA
CreateProcessW
WinExec

Код callback-a:

Код: Выделить всё

'-----------------------------------------------------------------
Public Function IPCCallbackFunction(IPCname As String, _
                                    messageBuf As Long, _
                                    MessageLength As Long, _
                                    AnswerBuffer As Long, _
                                    AnswerLengh As Long) As Long

   'Любой анализ параметров - даёт сбой
End Function
'-----------------------------------------------------------------
'Установка IPC Queue:
Private Sub cb_CreateIPCQ_Click()
    If CreateIpcQueueEx("myIPCQueueName" & Chr(0), _
                        AddressOf IPCCallbackFunction, _
                        1, _
                        6000) Then
                       '^^^ Is locared in the Module!
                       '^^^ Unique IPC Name!
        M "IPC Started" & vbCrLf
    Else
        M "IPC FAILED" & vbCrLf
    End If
End Sub
'-----------------------------------------------------------------

Весь код в аттаче:
1. Перехват CP.
2. Перехват принтера.

Вопрос:

Из за чего access violation?
Как построить IPCQueue что бы не только параметры из длл передавались,
но и ответ в длл возвращался?
--
comments PO DELU are welcomed!
--
заранее огромное спасибо!

[Wild VB Code for Food]

хм....странно...у меня пример совсем не пашет.....

Возможно всё дело в ByVal\ByRef

[ANDLL]

передавая внутрь параметры и указатель на
буфер для ответа

Внутри АП какого процесса лежат эти самые параметры и буфер для ответа? Может быть, в "жертве"? Потому что иначе возникает тех. вопрос: Каким образом эта магическая библиотека скопирует все параметры в наш АП?

[xenomorph]

To Wild VB Code for Food
and многоуважаемые All:
Рабочая верися global system interception.
Себя не хукает.
Системонезависимо.

1. Распаковать.
2. Запустить Test.exe.
3. Нажать Inject.
4. Запустьить calc.exe откуда-рибудь .
--
Хук снимаеться или Uninject \ reboot.
--
Теперь работает?
--
2 Andll отвечу через 1 мин.

[Kovu]

xenomorph
Запустил, терь експлорер каждый раз спрашивает, а можно ли создавать процесс...забавно

Себя не хукает.

А вот и нет, тож вопрос задает: А можно ли процессу Test.exe запустить Calc.exe

[xenomorph]

Not correct!
Не только эксплорер, АБСОЛЮТНО всё будет спрашивать .
Если мене помогут - напишу статью как собрать USERMOD-ный фаервол на ВБ .

ПАМАААГИИИТЕЕЕ!!!

[keks-n]

Проблема, как уже было замечено, в том, что надо принимать параметры не по ссылке, а по значению, т. е. перед аргументом прописать ByVal. Или я не понял и помощь нужна уже в другом???

[Gotha]

Я тут покопался немного и у самого вопросы возникли.. вот код:

Код: Выделить всё

Option Explicit
Private Declare Function WinExec Lib "kernel32.dll" (ByVal lpCmdLine As String, ByVal nCmdShow As Long) As Long

Private Sub cb_CreateIPCQ_Click()
  CollectHooks
  Call HookAPI("kernel32.dll", "WinExec", AddressOf WinExecHookProc, AddressOf WinExecNextHook)
  WinExec "notepad.exe", 1
  UnhookAPI AddressOf WinExecNextHook
  FlushHooks
End Sub

Модуль

Код: Выделить всё

Option Explicit
'---------------------------------
'Injection\Uninjection Routines:
'---------------------------------
'To explore:
'GetCurrentSessionId
'---------------------------------
Public Const ALL_SESSIONS = &HFFFFFFED       ' apps of all sessions
Public Const CURRENT_SESSION = &HFFFFFFEC    ' apps of current session
Public Const CURRENT_USER = &HFFFFFFEB       ' apps of current user

Public Const SYSTEM_PROCESSES = &H10  ' include this flag to include system processes + services
Public Const CURRENT_PROCESS = &H8    ' exclude this flag to exclude injection into yourself
  '---------------------------------------------------------
Public Const SYSTEM_PROCESSES_ALL_SESSIONS As Long = SYSTEM_PROCESSES + ALL_SESSIONS
Public Const SYSTEM_PROCESSES_CURRENT_SESSION As Long = SYSTEM_PROCESSES + CURRENT_SESSION
Public Const SYSTEM_PROCESSES_CURRENT_USER As Long = SYSTEM_PROCESSES + CURRENT_USER
Public Const CURRENT_PROCESS_ALL_SESSIONS As Long = CURRENT_PROCESS + ALL_SESSIONS
Public Const CURRENT_PROCESS_CURRENT_SESSION As Long = CURRENT_PROCESS + CURRENT_SESSION
Public Const CURRENT_PROCESS_CURRENT_USER As Long = CURRENT_PROCESS + CURRENT_USER

Public Declare Function InjectLibraryW Lib "MadCHook.dll" (ByVal InjectionFlags As Long, ByVal s_Dll_Name As String, Optional ByVal timeOut As Long = 7000) As Boolean
Public Declare Function UninjectLibraryW Lib "MadCHook.dll" (ByVal InjectionFlags As Long, ByVal s_Dll_Name As String, Optional ByVal timeOut As Long = 7000) As Long

Public Declare Function CreateIpcQueueEx Lib "MadCHook.dll" (ByVal ipc As String, ByVal callback As Long, Optional ByVal maxThreadCount As Long = 16, Optional ByVal maxQueueLen As Long = &H1000) As Boolean
Public Declare Function DestroyIpcQueue Lib "MadCHook.dll" (ByVal ipc As String) As Boolean
Public Declare Function HookAPI Lib "MadCHook.dll" (ByVal module As String, ByVal api As String, ByVal callbackFunc As Long, ByVal nextHook As Long, Optional ByVal flags As Long = 0) As Boolean
Public Declare Function UnhookAPI Lib "MadCHook.dll" (ByVal nextHook As Long) As Boolean

Public Declare Function CollectHooks Lib "MadCHook.dll" () As Long
Public Declare Function FlushHooks Lib "MadCHook.dll" () As Long

Public Declare Sub CopyMemory Lib "kernel32" Alias "RtlMoveMemory" (pDst As Any, pSrc As Any, ByVal ByteLen As Long)

Public Function WinExecHookProc(ByVal cmdLine As String, ByVal showCmd As Long) As Long
  If MsgBox("Execute?", VbMsgBoxStyle.vbYesNo Or VbMsgBoxStyle.vbQuestion, StrConv(cmdLine, vbUnicode)) = VbMsgBoxResult.vbYes Then
    WinExecHookProc = WinExecNextHook(cmdLine, showCmd)
  Else
    WinExecHookProc = 0
  End If
End Function


Public Function WinExecNextHook(ByVal cmdLine As String, ByVal showCmd As Long) As Long
    DoEvents
End Function

иногда все путем хучится а иногда иде с громким писком мгновенно вырубается - от чего это?
з.ы. хотя и код не меняю

[Gotha]

все, сам разобрался - я два раза получаю указатель на Next - функцию, а они изменяются и я не мог снять хук (решение - получить адрес Stub-ом и везде его юзать)

[xenomorph]

2 Gotha:
Можно на твой код посмотреть (приаттачь проэкт пжжжалуйста!)\отошли личкой Ж-) как вариант.
--
Заранее благодарю!

[Gotha]

Код: Выделить всё

Option Explicit
Private Declare Function WinExec Lib "kernel32.dll" (ByVal lpCmdLine As String, ByVal nCmdShow As Long) As Long

dim funcAddr&

Private Sub cb_CreateIPCQ_Click()
  funcAddr=Stub(AddressOf WinExecNextHook)
  CollectHooks
  Call HookAPI("kernel32.dll", "WinExec", AddressOf WinExecHookProc, funcAddr)
  WinExec "notepad.exe", 1
  UnhookAPI funcAddr
  FlushHooks
End Sub

private function Stub&(byval x&)
Stub=x
end fucntion

[xenomorph]

2 Gotha:

А ты код что в эксешник запихнул???!!!

Код: Выделить всё

  funcAddr=Stub(AddressOf WinExecNextHook)
  CollectHooks
  Call HookAPI("kernel32.dll", "WinExec", AddressOf WinExecHookProc, funcAddr)
  WinExec "notepad.exe", 1
  UnhookAPI funcAddr
  FlushHooks

Во изврат Ж-).
Оно ж по идее в длл юыть должно ... или как?

ОНО У ТЕБЯ НОРМАЛЬНО РАБОТАЕТ?

[Gotha]

ну энное количество раз запускал - работало, не падало вроде