| |
| |
|
| - Página 1 - |
|
Frank
Abbing | Ein kleines Tool de me en API-Hooking Base. In uno Listbox voluntad todos Dlls aufgelistest, el gerade de Programmen geladen fueron.
Einfach Exe starten y luego irgendwelche Programas starten. Deren Dlls debería ahora gelistet y ser lo pieps kurz.
Bitte testet veces, si todavía irgendwo hakt. |
|
| |
| |
| |
|
| |
| |
| - Página 2 - |
|
|
Frank
Abbing | Mache Yo sí, por lo tanto haut lo eben no hin. Für 2000 existieren also sólo 3 Trampolin-Bytes, bajo XP son lo 5. Darum crashed lo beim Rücksprung en el originale Rutina.
Entweder berücksichtige Yo ahora el jeweilige NT-Versión, oder Yo baue el API komplett en media Code una. El zweite Möglichkeit es flexibler. |
|
| |
| |
| |
|
|
Frank
Abbing | | Diese neue Versión debería auch con 2000 trabajo. Testen podría Yo pero no. |
|
| |
| |
| |
|
|
| Frank Abbing
Mache Yo sí, por lo tanto haut lo eben no hin. Für 2000 existieren also sólo 3 Trampolin-Bytes, bajo XP son lo 5. Darum crashed lo beim Rücksprung en el originale Rutina.
Entweder berücksichtige Yo ahora el jeweilige NT-Versión, oder Yo baue el API komplett en media Code una. El zweite Möglichkeit es flexibler.
¡Hola Franco...
Tiempo unos pocos Gedanken:
¿Por qué berücksichtigst du no el Opcodes? So viele son el doch no. Manche haben eben sólo una Byte, otro dagegen incluso 6 (si una Adresse angesprungen se):
Also: ScrewBox, wo gültiger Opcode endet.
¿Por qué kopierst du entonces no el (gültigen) Opcode de el DLL y springst ihn entonces simplemente a? Usted müssest sólo schauen, dass el Stack otra vez passt. An el Ende des kopierten Opcodes schreibst du otra vez el Opcode uno más Call Anweisung.
Auch en el API muss entonces pero la Stack otra vez adaptado voluntad (schau mal en QEditor, Opcodes, RET y CALL).
PS: Testergebnis folgt todavía. |
|
| |
| |
| |
|
|
| ¡Hola Franco...
Leider bajo Windows2000 todavía el selbe Problema:
El erste DLL se adecuado, danach verabschiedet se el gehookte Programa con Fehlermeldung.
Als Yo Shatter angesehen habe, Yo bastante viel con API rumgefuscht. Das qué como passiert, kommt me muy bekannt antes - como sscheint algo con el Stack no mehr a stimmen y el API se una Pointer vom Stack, el no en una gültige Adresse verweist. Schau veces después de, si como tal vez irgendwo algo (tal vez con Call) en el Stack geschoben se, qué como antes el Ausführen el restlichen API sólo otra vez runtergenommen voluntad muss. XP validiert solche Pointer scheinbar ( se ejecuta en efecto stabiler), 2000 reagiert siempre con Choque - sólo así una Vermutung por mi früheren Basteleien. |
|
| |
| |
| |
|
|
Frank
Abbing | Oh, tener una Byte dezimal ausgewertet, anstatt hexadezimal...
Im Anhang el neue Versión, el ahora hoffentlich se ejecuta.
¿Por qué berücksichtigst du no el Opcodes? So viele son el doch no. Manche haben eben sólo una Byte, otro dagegen incluso 6 (si una Adresse angesprungen se):
Also: ScrewBox, wo gültiger Opcode endet.
Yo escribir una Jmp-Befehl a el Anfang el API, el en Mi rutina springt. El überschriebenen Bytes/Opcodes arbeite Yo entonces al Anfang meiner Rutina como. Das Problema war, el 2000 y XP verschiedene Anfänge besitzen. MS fördert API-Hooking de WindowsXP y ha deswegen todos APIs así modifiziert (el sinnlose MOV EDI,EDI eingefügt) , dass el ersten 5 Bytes nun ligeramente por una Jmp ersetzt voluntad puede. Später springe Yo otra vez hinter el Jmp-Befehl y lasse el API normal weiterlaufen. Es el en Hackern übliche Technik, que Trampolin nennt (eben hin y zurück springen).
Anstelle uno Jumps kann auch una PUSH sprungaddr / RETN benutzt voluntad. Diese Technik besitzt aber una 6 bytes grosses Trampolin.
Diese Método kannst du auch ligeramente benutzen, en nachzuprüfen, si una API gehookt o no. Ist el erste ausgelesene Byte el API no $55 y no $8B, Es el API con Sicherheit Inline-gehooked. |
 |
| |
| |
| |
|
|
| ¡Hola Franco...
Interessante Infos! Schau dir Por favor, veces el API AreFileApisAnsi de el Kernel32 a.
Ist el erste ausgelesene Byte el API no $55 y no $8B, Es el API con Sicherheit Inline-gehooked.
Yo denke veces, Yo sería evtl. algo hinbekommen, qué en allen Systemen y en allen APIs se ejecuta. Wenn Yo veces bastante große Lust habe, Puse mich como tal vez auch veces dran. |
|
| |
| |
| |
|
|
| ¡Hola Franco, va ahora bajo Windows2000. Hatte sólo una Problema con el Profano Editor, el liegt pero probablemente no a dir. 
Sehr interessant, qué Windows como macht! Schaue Yo todavía näher a. |
|
| |
| |
| |
|
|
Frank
Abbing | Super! Bajo Vista funktioniert lo ebenfalls, el ha Rolf vorhin getestet. Vista ha el gleichen Dll-Startcodes como XP.
Jetzt kann Yo Sinnvolles programa, después de el Rahmen nun es.  |
|
| |
| |
| |
|
|
Dieter
Zornow | Yo denke dein Tool es auch gefährlich, Yo sí el problema, dass en me siempre
sólo el psapi.dll adecuado se sonst nichts. El Dll es una Microsoft DLL y kam con SP2 ellos se bajo anderem de Explorer y mi Virenprogramm geladen.
Beim Testen deiner letzten Versión ha mi Firewall gemeldet, dass mein Virenprogramm darse por concluido muss, como Speicher überschrieben wurde. Ist also no bastante ungefährlich el Sache. Yo denke dass mein Problema con el Virenscanner y Firewall zusammen hängt.
Virenscanner Antivir, Firewall Outpost
Saludo
Dieter |
|
| |
| Er ist ein Mann wie ein Baum. Sie nennen ihn Bonsai., Win 7 32 bit und Win 7 64 bit, mit XProfan X2 | 25.03.2007 ▲ |
|
| |
|
|
Frank
Abbing | Dieter, tal vez hookt una más Programa ebenfalls en deinem Sistema. Könnte ser, dass du una Trojaner eingefangen hast?
AntiVir es sí nun no sonderlich sicher. Yo war no zufrieden así, después de lo mehrmals Trojaner en me durchgelassen ha y mein Sistema allgemein auch belastete.
Yo benutze sólo todavía Avast, el bemerkt uno nada y bislang es todavía nichts durchgekommen. |
|
| |
| |
| |
|
|
| ¡Hola Dieter...
Jetzt Será mejor que te va interessant! Was sagt dein Sistema a ProcessHider en meiner Homepage? Bidde bidde veces testen!
Zuerst aber veces con ProcHunter schauen, si como tal vez doch una Trojaner (RootKit) ser Unwesen treibt. |
|
| |
| |
| |
|
|
Dieter
Zornow | ¡Hola Franco,
Yo habe mein Sistema nun con algunos Root Kit Scannern getestet, keiner ha algo
gefunden. Lo son sólo todavía el Treiber meiner Firewall el 2 Fubktionen hooked.
Das Comportamiento con deinem Tool es auch reproduzierbar. Usted überschreibst por deine Hooks una Speicherbereich y si hay gerade una Programa es oder esta benutzt, stürzt lo de deshalb denke Yo no ungefährlich todos.
@Andeas,
Yo habe deinen Process-Hider veces probiert, soweit Yo beurteilen kann se ejecuta alles
normal. Mir es sólo aufgefallen, si yo una bastante normale Anwendung verstecke
es ellos sólo deinem Tool unsichtbar auch después de refresh. Der Taskmanager zeigt ellos más bastante normal bajo Anwendungen a.
Yo habe auch Prochunter ausprobiert, él zeigt no oculto Processe. Nur si
Yo Nativo ID abhake voluntad rote Einträge gefunden, como aber sólo el ID y no
Namen adecuado voluntad, auch no en el Editbox, kann Yo ellos no zuordnen. Yo habe me algunos Rootkit Scanner de el Internet elaborado, el meisten suchen auch
después de Hooks
Saludo
Dieter |
|
| |
| Er ist ein Mann wie ein Baum. Sie nennen ihn Bonsai., Win 7 32 bit und Win 7 64 bit, mit XProfan X2 | 25.03.2007 ▲ |
|
| |
|
(767)
Deutsch
English
Français
Español
Italia