رونویسی یک فانکشن در kernel32 - اینجکتشن

[amin_vb]

سلام
من زیاد تو تاپیکا پیزی در مورد اینجکشن و اینا خوندم . ولی خوب هنوز یه کم سردرگمم .
فرض کنید می خایم کاری کنیم که از این به بعد هر بار توی ویندوز می خایم یه فایلی رو پاک کنیم تابع ما اجرا بشه به جای تابعی که الان توی کرنل32 وجود داره ! و حذف فایل از اون طریق انجام بگیره .

حالا باید چه کنیم ؟ سیستم واید باید باشه اینجکتمون ؟
میشه یه نمونه از اون تابع که باید اینجکت بشه رو بنویسین ؟ اقلا بدنه اصلی اون تابع رو بنویسین . یعنی اینکه دقیقا باید مثل تابع توی کرنل32 باشه ؟

کلا راهنمایی می خام
ممنون

[joker]

Wide Hook را به عنوان یک لغت کلیدی سرچ کنید به منابعش میرسید ، من متاسفانه وی بی چیزی بلت نیستم :)

[amin_vb]

Wide Hook را به عنوان یک لغت کلیدی سرچ کنید به منابعش میرسید ، من متاسفانه وی بی چیزی بلت نیستم :)

سرچ کردن واید هوک معمولا منو به مثالهایی برای مونیتور کردن ککیبر و ماوس توی سیستم عامل می رسونه !

در واقع من برای اون مورد خاص که شرح دادم نیاز به کمک دارم. یعنی یه مثالی از رونویسی یه تابع توی کرنل32 و سپس اینجکت کردنش .

[joker]

Wide Hook را به عنوان یک لغت کلیدی سرچ کنید به منابعش میرسید ، من متاسفانه وی بی چیزی بلت نیستم :)

سرچ کردن واید هوک معمولا منو به مثالهایی برای مونیتور کردن ککیبر و ماوس توی سیستم عامل می رسونه !

در واقع من برای اون مورد خاص که شرح دادم نیاز به کمک دارم. یعنی یه مثالی از رونویسی یه تابع توی کرنل32 و سپس اینجکت کردنش .

مثال هوک کیبورد یک مثال پایه هست ، شما هر api دیگه ای را هم به همین روش میتونید دست خودتون بگیرید.
شما در روش واید هوک در واقع تابع را رونویسی نمیکنید ، آدرسی که اون تابع لود میشه را به واسطه هوک کردن انتقال میدید به مکانی که کدهای خودتون را نوشتید
مثلا شما میتونید با یک واید هوک تابع DeleteFile را دست خودتون بگیرید و ...
( البته اگه قرار باشه کل توابع پایه (مثل حذف کردن فایل) را دست خودتون بگرید مجبور باشید کلش را به زبان اسمبلی بنویسد ، چون دیگه به apiاون دسترسی ندارید)

فکر کنم www.Madshi.net به کار شما بیاد ، یه سر به انجمنش بزنید( البته این بنده خدا تخصصش دلفیه) ولی فکر کنم مطالب بیس را بشه ازش بدست بیارید.

[lord_viper]

سلام
من زیاد تو تاپیکا پیزی در مورد اینجکشن و اینا خوندم . ولی خوب هنوز یه کم سردرگمم .
فرض کنید می خایم کاری کنیم که از این به بعد هر بار توی ویندوز می خایم یه فایلی رو پاک کنیم تابع ما اجرا بشه به جای تابعی که الان توی کرنل32 وجود داره ! و حذف فایل از اون طریق انجام بگیره .

حالا باید چه کنیم ؟ سیستم واید باید باشه اینجکتمون ؟
میشه یه نمونه از اون تابع که باید اینجکت بشه رو بنویسین ؟ اقلا بدنه اصلی اون تابع رو بنویسین . یعنی اینکه دقیقا باید مثل تابع توی کرنل32 باشه ؟

کلا راهنمایی می خام
ممنون

شما باید در مورد hookapi یا IATRedirecting در گوگل search کنین
راحترین کار استفاده از تکنیک IATHoking هست که ادرس فراخوان تابع Deletefile رو در IAT یا همون IMport Address Tableبا تابع خودتون بازنویسی کنین پارامتر های تابع شما باید همنوع و برابر با تابع اصلی deletefile باشه چون موقع فراخوانی تابع پارامترها از برنامه به جای تابع اصلی به تابع شما ارسال میشهو تو تابع خودتون بعد از چک کردن پارامترهای ورودی با فراخوانی تابع DeleteFile اصلی اون فایل رو پاک میکنین و خروجی رو به برنامه بازگشت میدین
و همون طور که joker عزیز گفتن اگه تابع اصلی رو بازنویسی کنین روند حذف فایل رو باید خودتون به صورت اسمبلی انجام بدین

[amin_vb]

(
اجازه بدین داخل پرانتز یه سوالی بپرسم قبل از اینکه بر مبنای غلط برم جلو !
1- فرض کنید شما الان توی یک فولدر 20 تا فایل رو مارک می کنین و می زنین برای دیلیت شدن . یعد از اینکه شما فرمان دیلیت رو ارسال می کنید یه پنجره باز میشه (همون که پروگرس بار داره) حالا سوالم اینه که چه چیزی اینجا داره اون پنجره رو نمایش می ده ؟ و چه چیزی آدرس اون 20 تا فایل رو یکی یکی داره میده به اون فانکشن دیلیت در کرنل32 ؟
پروسسٍ اکسپلورر ؟
2- حالا فرض کنید من می خام که در این فرآیند دیلیت شدن فقط یه سری تغییرات بدم . یعنی وقتی کاربر 20 تا فایل رو زد برای دیلیت من قبل از اینکه هر اتفاقی بیفته بیام اسم فایلهایی که برای دیلیت شدن ارسال شدن رو بررسی کنیم و برای یک سری از اونها کلا" فرآیند پاک شدن رو کنسل کنم و برای بقیه فرآیند دیلیت شدن رو خودم با برنامه (و بدون نمایش اون پروگرس بار!!) انجام بدم .
برای چنین کاری چطور باید عمل کرد ؟
)
مجدد به صورت زبانی هم از اساتید تشکر می کنم بابت راهنمایی .

[Di Di]

دوست عزیز

جواب این سوال هم در داخل پاسخ سوال اولتون نهفته است. برای این کار باید روند انجام کارها تا پاک شدن نهایی فایل ها و فولدرها رو بدونید و سر راه اون یه فیلتر ایجاد کنید.

در حقیقت به جای اینکه کل پروسه حذف فایلها رو شبیه سازی کنید باید پروسه دسته بندی و انتخاب فایلها رو شبیه سازی کنید مثلا طوری که سیستم عامل نتونه فایل یا فولدر مورد نظر شما رو انتخاب کنه. برای این کار باید با نحوه کار سیستم عامل مورد نظرتون کاملا آشنایی داشته باشید.

[amin_vb]

دوست عزیز

جواب این سوال هم در داخل پاسخ سوال اولتون نهفته است. برای این کار باید روند انجام کارها تا پاک شدن نهایی فایل ها و فولدرها رو بدونید و سر راه اون یه فیلتر ایجاد کنید.

در حقیقت به جای اینکه کل پروسه حذف فایلها رو شبیه سازی کنید باید پروسه دسته بندی و انتخاب فایلها رو شبیه سازی کنید مثلا طوری که سیستم عامل نتونه فایل یا فولدر مورد نظر شما رو انتخاب کنه. برای این کار باید با نحوه کار سیستم عامل مورد نظرتون کاملا آشنایی داشته باشید.

ممنون دی دی جان
ولی واقعا متوجه منظورتون نشدم .
پروسه دسته بندی و انتخاب فایلها رو شبیه سازی کنیم ؟ این چه پروسه ایه ؟ کجاس ؟
سیستم عامل هم ویندوز ه طبعا" .

[Di Di]

عملا از این روش بیشتر استفاده می شه چون خیلی راحت تره اگه کاری کنیم که یوزر اصلا قادر نباشه فایل مورد نظر رو ببینه تا اینکه بخوایم پروسه حذف فایل ها رو مجددا با اسممبلی بنویسیم!! دقیقا می شه هوک کردن سیستم فایل ویو و فیلتر کردن نام فایل مورد نظر از لیست خروجی تابع.

در ثانی فکر می کنم از این روش در بدافزارهای زیادی استفاده شده باشه ( مثل روتکیت ها ) که می تونید با نگاه به سورس اونها بیشتر با طرز کارشون آشنا بشید.

[amin_vb]

عملا از این روش بیشتر استفاده می شه چون خیلی راحت تره اگه کاری کنیم که یوزر اصلا قادر نباشه فایل مورد نظر رو ببینه تا اینکه بخوایم پروسه حذف فایل ها رو مجددا با اسممبلی بنویسیم!! دقیقا می شه هوک کردن سیستم فایل ویو و فیلتر کردن نام فایل مورد نظر از لیست خروجی تابع.

در ثانی فکر می کنم از این روش در بدافزارهای زیادی استفاده شده باشه ( مثل روتکیت ها ) که می تونید با نگاه به سورس اونها بیشتر با طرز کارشون آشنا بشید.

آهان . الان متوجه منظورتون شدم ! اما اون چیزی که گفتین کلا عملی نیست . یعنی به درد کار من نمی خوره . یعنی در واقع هدف من همونطور که گفتم اینه که کاربر هر فایلی رو که برای دیلیت انتخاب کرد رو من ببینم و بعد تصمیم گیری کنم . یعنی کلن تغییر سیستم فایل ویو هیچ !

[lord_viper]

شما برای کاری که میخواهید انجام بدین باید تابع deletefile رو هوک کنید اون پروگرس بار رو explorer نشون میده و برای حذف هر فایل از تابع deleteFile استفاده میکنه هر وقت کاربر بخواهد فایلی رو حذف کنه ادرس اون فایل به عنوان پارامتر به تابع DeleteFile ارسال میشه وقتی شما این تابع رو هوک میکنین تابع شما قبل از تابع اصلی اطلاعات رو دریافت میکنه و پردازش میکنه و در صورت تایید تابع شما تابع اصلی DeleteFile رو فراخوانی میکنه

این یه نمونه مثال هوک MessageBoxA همون طور که میبینین پارامترهای تابع با پارامترهای تابع اصلی یکی هست

کد:

type
   msgdlg=function(form:HWND;text,caption:PChar;flag:UINT):Integer;stdcall;

function xmessagebox(form:HWND;text,caption:PChar;flag:UINT):Integer;stdcall;
var
   dlg:msgdlg;
begin
dlg:=getprocaddress(LoadLibrary(user32),'MessageBoxA');
Result:=dlg(form,text,'Lord_Viper',flag);
end;

در این هوک هر وقت در برنامه هوک شده تابع MessageBox فراخوانی بشه کپشن اون هر چی باشه به Lord_Viper تغییر پیدا میکنه
این تابع درون یک dll قرار میگیره و به پروسه یا پروسه های مورد نظر اینجکت میشه و ادرس این تابع با تابع اصلی MessageBoxA در برنامه عوض میشه وقتی تابع MessageBoxA فراخوانی میشه ادرس تابع از ImportAddressTable بدست میاد و برنامه به اون ادرس پرش میکنه وقتی شما ادرس IAT رو به ادرس تابع خودتون عوض میکنین برنامه به تابع شما پرش میکنه و پارامترها به تابع شما ارسال میشه و شما میتونین تصمیم بگیرین که اون فایل پاک بشه یا نه