API HOOKING

Commentaire de ymca2003 le 07/04/2005 18:38:23

Dans le bouquin de richter il ya un exemple similaire qui utilise une autre technique (modification de la table d'import):
http://brunews.free.fr/brunews/download/JR4.zip
http://brunews.free.fr/brunews/download/JR4Sources.zip

En ce qui concerne ta technique elle est assez risquée car la modification des premiers octets en jmp ne se fait pas en 1 instruction ASM mais en plusieurs => le thread qui fait ça peut être interrompu au milieu et un autre thread peut faire un appel à la fct hookée et boom.

Sinon en utilisant WriteProcessmemory, il n'y a pas besoin de modifier les protections des pages.

Commentaire de TeLeTUbIz le 08/04/2005 15:39:18

J'ha-lu-ci-ne !!!!!
Je savais pas du tout qu'on pouvait hooker des applications. Je considérais le hook comme un truc permettant seulement la capture d'évenements (clavier, souris, etc...).

Bravo, bien joué !

A part ça, c'est un peu du piratage ca ! :-)
Ta fonction peut ne connaitre aucune limite dans le code ?

Commentaire de TeLeTUbIz le 09/04/2005 15:41:46

Mais alors ca c'est formidable; vraiment formidable.
Ca ouvre un immense champ de possibilités...


Sinon y'avait un rapport avec le reverse code ?

Commentaire de cosmobob le 11/04/2005 15:23:37

salut,
perso en ayant recompilé ce code, ca detourne bien le MessageBoxW du notepad, mais celui plante en fermant, alors que pas de pb avec l'exe qui etait direct dans la source.
il faut compiler avec certaines options??

Commentaire de LordBob le 12/04/2005 18:33:11

dite j'ai une question j'ai regarder le code de la dll, je constaste que on inclut le header winsock ?
ce header est-il vraiment nécessaire et si oui pourquoi?

Commentaire de cosmobob le 13/04/2005 10:40:46

LordBob> j'ai regardé, on peut effectivement enlever le header winsock, ca compile et  ca tourne sans problemes... il doit s'agir d'un résidu d'un autre projet
a+

Commentaire de Msgbox le 31/05/2005 22:06:38

Ta source est vachement interessante, bien trouve le coup du JMP, n'empeche j'aurais qqs questions la dessus :S

A quoi servent les fonctions SetWindowsHookEx, CallNextHook ?
J'ai remarque qu'en les enlevant (et en enlevant le if(!...) du Lanceur, le programme ne fonctionne plus, la meme chose quand on quitte le programme (ca crash).
Bon pour le le crash j'ai compri en debuggant, c'est assez logique vu que le notepad fait des "pop" alors que la pile est vide ou un truc du genre, mais comment ces deux fonctions font pour empecher ce bug ????? C'est de la magie haut nivo ? lol

Personellement j'ai essaye de faire sans, c'est a dire un WriteProcessMemory qui insere un JMP vers une DLL chargee sur le notepad. Ca marche mais, juste apres le detournement de l'API, ca crash (pile en vrac).

QQun pourrait m'eclairer la-dessus ?

++

Commentaire de Msgbox le 02/06/2005 20:35:59

Ah oui c'est vrai !
Vachement astucieux de se passer de CreateRemoteThread :-D. 10/10
Dommage qu'on peut pas exploiter cette methode sans dll.

++

Commentaire de Arnotic le 12/05/2006 11:27:35 administrateur CS

C'est tout simplement celle de ma DLL.