SNIFFER MSN MESSENGER GRACE AU HOOK DES FONCTIONS WINSOCK

Commentaire de cosmobob le 27/06/2005 23:43:24

ha au fait, le log du 'sniffage' est stocké dans 'C:\LogFileSniff.txt'
sinon, seules les fonctions recv, send et connect sont détournées, allez voir le fichier wsock32Hook.cpp pour en rajouter d'autres.
cf le dllmain.cpp pour sniffer un autre prog que msn.

merci de poster vos remarques ;)

Commentaire de cosmobob le 28/06/2005 14:02:14

oui ici sniffer = logger les donnees envoyées ou recues par MSN, pas se mettre de la poudre blanche sous le nez et l'aspirer.

Commentaire de cosmobob le 28/06/2005 14:36:39

salut,
merci pour ton commentaire.
effectivement le pb est que le fichier est écrit depuis le processus cible (mIRC ou MSN) et que pour l'afficher dans une boite de texte du processus de base (le wsock32_hook.exe), il faut jouer un peu sur la communication inter processus ce qui m'a paru fastidieux, donc le choix simple c'etait de tout mettre dans un fichier sur le disque ...

Commentaire de Zootella le 28/06/2005 15:07:18

Pourquoi afficher la boite de dialog depuis wsock32_hook.exe ? Tu peux le faire depuis la dll.

Commentaire de Kirua le 28/06/2005 15:13:42

Krust, j'utilisais déjà ethereal, mais il me semblait intéressant de voir un exemple sur cppfrance :) Sans compter que j'aime assez bien la mise en forme du log ^^. Mais je te concède que dès que tu sniffes du HTTP ça doti faire mal les 54 Ko de la page d'un coup ... comprends plus rien ^^.

Commentaire de cosmobob le 28/06/2005 15:47:15

Zootella> Une boite de dialogue depuis le processus cible ne persiste pas une fois que as fermé ce processus (ce que je voulais au début éviter).

La dans ce cas, tu peux détourner ce que font les fonctions de winsock, dans ce code elles sont loggées pour montrer l'utilisation. De plus il s'agit ici d'un code autonome qui n'a pas besoin de driver pour être capable de sniffer ce qui - par exemple - sort...

sinon je comprends pas ta premiere question:
"si on n'a pas les paramétres des fonctions, comment faut-il procéder alors pour récupérer les données de ces paramétres"

qu'est ce que tu veux dire? les données d'un paramètre me parait assez flou, comme le fait de ne pas avoir les paramètres d'une fonction ...

Commentaire de cosmobob le 28/06/2005 16:15:44

ok merci j'update ce petit pb ce soir

Commentaire de cosmobob le 28/06/2005 16:39:31

ha ok, oui ben dans ce cas les fonctions de winsock sont effectivement bien connues. Si tu ne connais pas le prototype de ta fonction, le problème est inextricable.

Commentaire de Zootella le 28/06/2005 19:53:48

Ok merci krust, sinon sur certains programmes ça ne marche pas, j'obtiens juste la ligne "(connect) (SOCKET = 260, sockaddr = 25688556) - ret = -1" mais pas de recv ou de send, pourtant il envoie et reçoit des données.

Commentaire de Zootella le 28/06/2005 20:25:00

j'ai compris pourquoi je pense : il les emplois indirectement, c'est à dire qu'il charge une dll qui elle envoie et reçoit des données, est-ce possible de hooker la dll plutôt que l'exe ?

Commentaire de Halo2 le 01/07/2005 13:33:42

Bonjours,

je n'arive pas a compiller l'exe pour pouvoire tester...

Commentaire de Halo2 le 01/07/2005 17:06:01

Avec Dev-c++ ou Visual C++ j'ai toujours une erreur:

[DEV-C++]
C:\Documents and Settings\****\Mes documents\Mes Application\cppfrance_source_32374\Makefile.win [Build Error]  [Release/wsock32_hook.exe] Error 1

[Visual C++]
--------------------Configuration: Exe - Win32 Debug--------------------
Linking...
LINK : fatal error LNK1104: cannot open file "wsock32_hook.lib"
Error executing link.exe.

wsock32_hook.exe - 1 error(s), 0 warning(s)

Commentaire de srtg1 le 01/07/2005 22:11:50

Une version exe sans dll est elle complique a faire ?
Car moi j'y arrive pas ...
Pas d'erreur de compile l'exe est cree mais il plante mon explorer et ca log rien

#include <windows.h>
#include <ImageHlp.h>
#include <string>
#include "tokenizer.h"
#include "wsock32Hook.h"

using namespace std;

HINSTANCE thismod = 0;

const char* ProgramName = "msnmsgr.exe";

const char* WSockDll = "ws2_32.dll";

HookWSock32* wsockhook = NULL;

HHOOK hhk = 0;

LRESULT CALLBACK HookProc(int nCode, WPARAM wParam, LPARAM lParam)
{
  return CallNextHookEx( hhk, nCode, wParam, lParam);
}

HHOOK DLLInjectedAdd()
{
  if (!hhk) hhk  = SetWindowsHookEx(WH_CBT,(HOOKPROC) HookProc, thismod, 0);
  return ( hhk);
}

DLLRemove()
{
   UnhookWindowsHookEx(hhk);
   hhk = 0;
}

int WINAPI WinMain (HINSTANCE hDll, HINSTANCE hPrevInstance,
                    PSTR szCmdLine, int iCmdShow)
{
        HWND         hwnd;
        MSG          msg;

         thismod = hDll;
         char buffer[MAX_PATH];
         GetModuleFileName(0, buffer, sizeof(buffer));
         tokenizer tfullpath(string(buffer), '\\');
        
         // si on est dans le programme dans lequel la DLL doit lancer le hook winsock
         if (tfullpath.gettok(-1) == ProgramName) // gettok(-1) : dernier token
         {
            // On lance le hook winsock
            wsockhook = new HookWSock32(WSockDll);
            if (wsockhook)
               wsockhook->InstallAllHooks();
         }

hhk = DLLInjectedAdd();

while (GetMessage (&msg, NULL, 0, 0))
{
TranslateMessage (&msg) ;
DispatchMessage (&msg) ;
}
return msg.wParam ;

}

Commentaire de srtg1 le 01/07/2005 22:44:19

OK Je pensai qu'on pouvait contourner le probleme
comme ici
http://www.cppfrance.com/code.aspx?ID=27169

Commentaire de cosmobob le 01/07/2005 23:33:27

le pb est que de cette maniere tu ne seras pas averti du déchargement de l'exe dans le processus cible (l'équivalent du DLL_PROCESS_DETACH); or si tu ne remets pas les choses en place (avec un delete wsockhook) qd tu as quitté le sniffer, l'application cible va planter !! (car ses fonctions recv etc ... pointeront vers une adresse mémoire qui n'existe plus)

Commentaire de cosmobob le 02/07/2005 00:24:27

tu as pas pigé que avec cette astuce, la seule fonction qui est appelée dans le processus cible est HookProc.
Si tu initialises le hookwinsock dans la dialogbox
(en faisant:
wsockhook = new HookWSock32(WSockDll);
if (wsockhook)
   wsockhook->InstallAllHooks();
)
qui elle n'est appelée que par hookwsock32.exe, tu n'obtiendras evidemment rien !!!!

tu dois avoir plutot:

bool dejalance = false;

__declspec(dllexport) LRESULT CALLBACK HookProc(int nCode, WPARAM wParam, LPARAM lParam)
{
   char buffer[MAX_PATH];
   GetModuleFileName(0, buffer, sizeof(buffer));
   tokenizer tfullpath(string(buffer), '\\');
        
   if (tfullpath.gettok(-1) == ProgramName)
   {
      if (!dejalance)
      {
         // On lance le hook winsock
         wsockhook = new HookWSock32(WSockDll);
         if (wsockhook)
            wsockhook->InstallAllHooks();
         dejalance = true;
      }
   }
   return CallNextHookEx( hHook, nCode, wParam, lParam);
}


la fonction dans le hook etant censée etre la plus rapide possible, il faudrait eviter de faire un GetModuleFileName a chaque appel de hookproc (ce qui est possible avec un autre flag genre bool premierappel = true)
Comme j'ai dit précedemment, comme le processus cible n'est pas averti du déchargement dans sa mémoire de hookwsock32.exe qd tu arretes le sniffer, les fonctions recv, etc. du processus cible vont pointer vers une zone mémoire non valide et il y aura plantage. Cette méthode ne sera donc jamais correcte, sauf a trouver un moyen de connaitre qd l'exe se décharge de la mémoire du processus cible, comme on peut le connaitre avec les DLL et le DLL_PROCESS_DETACH.

Commentaire de cosmobob le 02/07/2005 00:42:36

si tu veux lancer le hookwinsock sans passer par une DLL, injecte du code dans le processus cible avec CreateRemoteThread, mais ca n'est possible que sous les os récents (NT)

Commentaire de AnOnYmOuSs le 04/01/2006 09:02:17

haha salut tout le monde bonne année en retard =D quelqun ici si connait avec wpe (winsock packet editor) si quelqu1 peut me repondre...merci davance =P

Commentaire de krust le 04/01/2006 17:44:31

Quand tu fais apparaître le Task Manager sur windows, t'as plusieurs onglets.
Le premier fait une liste des fenêtre affichées sur le desktop
Le second affiche tout les process chargés.

Donc pour cacher dans la première liste -> SW_HIDE
Pour cacher dans la seconde y a pas de process(hide); il faut hooker la fonction NtQuerySystemInformation qui permet (entre autre) de lister les process chargés. C'est cette fonction qui est utilisée par le taskmanage (si je me rappel bien).

Voilà ;)

Commentaire de hijakhakker le 04/01/2006 19:33:17

concernant cette source j'ai essayé de la faire disparaitre du desktop mais sans resultat avec (sw_hide)
(mon but est de la faire disparaitre ,tout simplement du desktop)
j'ai changé de moidfier les paramettre sans resultat
quelqu'un a une idée?
merci

Commentaire de zibo3 le 20/02/2006 18:08:17

Bonjour,

J'ai essayé ton code qui est exellent mais je me suis permis de le tester sur une application plus simple : notepad.exe et de hokker les fonctions de texte : TextOutW, ExtTextOutW, DrawTextW, DrawTextExW dans les dll gdi32.dll et user32.dll.
Et quand je cherhce les pointeurs de fonctions je n'ai pas de probleme mais par contre le parcours de la table de l'import descriptor, il ne trouve que les fonctions dont notepad ne fait pas appel comme : TextOutW par contre pour les autres rien du tout. Je sais pas si ca peut aider mais j'ai un Windows XP avec le SP2. Est-il possible que Windows protege les adresses d'appel au fonctions externe de ses applications?
Merci pour ta solution qui est très importante pour moi.

Commentaire de supergrey le 10/03/2006 14:11:40

Avec Iexplore ca marche po , pourquoi donc?

Commentaire de supergrey le 11/03/2006 10:38:41

Je demandais car j'ai une autre source qui hook n'importe quel navigateur et qui remplace les fonction send(), sendto(), WSAsend(), et WSAsendto() qui je crois sont des fonctions winsock.
Cete source se sert de ces dll: ws2_32.dll  et  wsock32.dll
Donc je sais pas moi j'y conais pas grand chose j'avait besoin de la fonction recv() c'est pour ca que ta source m'interresse.

Commentaire de krust le 25/06/2006 18:52:52

Une méthode alternative qui fonctionne de manière plus générale  (J'ai utiliser dans l'exemple, le hook de CreateToolhelp32Snapshot).
Il faut mettre ce code dans une dll et l'injecter dans le processus que l'on veut hooker.


void *DetourFunc(BYTE *src, const BYTE *dst, const int len)
{
BYTE *jmp = (BYTE*)malloc(len+5);
DWORD dwback;

VirtualProtect(src, len, PAGE_READWRITE, &dwback);

memcpy(jmp, src, len); jmp += len;

jmp[0] = 0xE9;
*(DWORD*)(jmp+1) = (DWORD)(src+len - jmp) - 5;

src[0] = 0xE9;
*(DWORD*)(src+1) = (DWORD)(dst - src) - 5;

VirtualProtect(src, len, dwback, &dwback);

return (jmp-len);
}
typedef HANDLE (__stdcall* pCreateToolhelp32Snapshot)(DWORD,DWORD);
pCreateToolhelp32Snapshot fCreateToolhelp32Snapshot=NULL;

hmod = LoadLibrary("KERNEL32.DLL");

fCreateToolhelp32Snapshot = (pCreateToolhelp32Snapshot)DetourFunc((BYTE*)GetProcAddress(hmod,"CreateToolhelp32Snapshot"),(BYTE*)hkCreateToolhelp32Snapshot,5);

HANDLE WINAPI hkCreateToolhelp32Snapshot(
  DWORD dwFlags,
  DWORD th32ProcessID
  ){
[TON HOOK ICI]
}

Commentaire de hzocm le 01/12/2006 16:41:54

C'est super ton code, merci beaucoup!!!

Sinon, j'ai une petite question. Dans ta méthode _recv, c'est possible de moddifer le "imcomming data"?

Par example : je vérifie si dans le message je reçoie s'il contient une chaine : "salut". Si c'est le cas, je remplace la chaine par "Bonjour" avant de l'afficher dans la fenêntre de chat.

J'ai essayé de changer le contenu de variable "buf", mais ça ne change rien. J'ai l'impression qu'une fois on appelle la vraie fonction ORecv, on ne peut plus changer le contenu.

Merci

Hzocm

Commentaire de hzocm le 05/12/2006 10:14:50

oui, si possible. Je me suis trompé au fait. Je suis en train de travailler dessus.

Merci auteur d'avoir partager le source code et d'avoir répondu à ma question.

Merci Supergry aussi :)

Commentaire de open le 09/06/2007 23:50:44

Aucun idée pour ta question HZOCM.

Sinon je n'ai pas réussis à compiler cette source, même avec DEV-C++. Voilà ce que ça me met :

4 D:\C\Sniffer\Source_DLL\dllmain.cpp In file included from Source_DLL/dllmain.cpp
D:\C\Sniffer\Source_DLL\tokenizer.h In function `std::string toString(T)':
14 D:\C\Sniffer\Source_DLL\tokenizer.h `ostringstream' undeclared (first use this function)
  (Each undeclared identifier is reported only once for each function it appears in.)
14 D:\C\Sniffer\Source_DLL\tokenizer.h expected `;' before "oss"
15 D:\C\Sniffer\Source_DLL\tokenizer.h `oss' undeclared (first use this function)
D:\C\Sniffer\Makefile.win [Build Error]  [Source_DLL/dllmain.o] Error 1

Me manque quelque chose  ?

Commentaire de maaxobelixyeye le 20/08/2007 16:10:35

j'ai essayé de faire la même chose avec des fonctions wininet, juste la fonction internetconnect, mais dans log rien s'est passé, est ce que vous aviez une idée??? merci

Commentaire de Booster le 04/09/2007 22:36:53

Salut,

Depuis quelque temps je travaille sur ta source et j'ai un petit problème que je n'arrive pas à régler alors si tu pouvais me filer un petit cou de pouce ça serait sympa ;)

Je voudrais hook un jeu pour voir ce qu'il en sort.

J'ai essayé ton application avec "Tony Hawks Pro Skater 4" et ça marche parfaitement ...
Mais ça ne marche pas pour tous les jeux, exemple : warcraft 3 ou encore age of empire 2.

Lorsque je démarre le jeu tous se passe bien, le hook à bien fonctionné et les fonctions parfaitement remplacé, MAIS lorsque mon jeu envoi une donnée je n'attrape rien ! Fort dommage :D puisque c'est le but...

Je n'arrive pas à savoir d'où peu venir le problème.

Si vous pouviez me donner une piste ? Dans quel sens il faut chercher ? (Je n'attends pas de code, mais plutôt des idées qui pourraient m'aider à résoudre ce problème !)

Merci d'avance ! Et 10/10 pour ta source ;)

Commentaire de Booster le 05/09/2007 18:12:21

Salut,

Je te remerci pour ta réponse et oui je connais WPE pro puisque c'est sur ça que je me base, de plus WPE pro voit très bien les trames qui circulent sur le jeu warcraft3 par exemple, mais pas l'application de cosmobob.

Je pense effectivement qu'il utilise une autre fonction d'une autre dll et je vais essayer de voir tous les imports de tous les modules (yen à que 8 :D).

Par contre, je trouve bizarre que cela ne marche pas, car il y a bien la dll winsock32.dll charger en mémoire... Pourquoi ne l'utiliserait t'il pas ?

Merci

Commentaire de aurelihein le 19/09/2007 13:25:17

Bonjour, j'aimerais par la même occasion pouvoir récuperer les requetes GET HTTP envoyé par msn, mais je vois pas trop comment m'y prendre quelle fonction hooker ?merci beaucoup !!!!

Commentaire de cosmobob le 19/09/2007 22:30:56

suivant la version de msn utilisée, faut hooker soit ws2_32.dll soit wsock32.dll (c'est une ligne à commenter et une autre à décommenter dans dllmain.cpp...).
Pour savoir quelle DLL choisir, suffit d'utiliser dependency walker.

A++ ;)

Commentaire de cosmobob le 22/09/2007 20:44:53

salut,
pourquoi veux tu réellement hooker wininet si tu ne connais pas les fonctions qui y sont exportées?
choisis wsock32.dll ou ws2_32.dll, ca marche très bien avec msnmsgr.exe ...
A+ ;)

Commentaire de Booster le 25/09/2007 17:30:59

mswinsock.dll << est la solution (c'est par ici où transite toute les données) Ou alors utilise ethereal.
++

Commentaire de Renfield le 02/10/2007 08:39:14 administrateur CS

pk ne pe directement oublier l'SMS et rediG ?

As-tu des ampoules sur chaque doigt que tu ne puisse convenablement rédiger ?
Les .exe sont supprimés des archives Zip. Si tu le veux, à toi de le compiler ou de te le procurer tout prêt auprès d'un membre conciliant.

Commentaire de Booster le 04/10/2007 18:49:09

Compile le toi même (Sans être méchant).

C'est simple :
- tu install dev-cpp (http://sourceforge.net/projects/dev-cpp/)
- tu ouvre le projet
- tu lance ... ça marche

Bye

Commentaire de cosmobob le 11/10/2007 22:24:13

ScOuT> Dans le dossier release, il suffit de renommer wsock32_hook.ex_ en wsock32_hook.exe
Sinon, les compilateurs dev cpp et visual c++ express 2005 sont disponibles gratuitement et permettent de compiler cette source.

Commentaire de cosmobob le 23/10/2007 00:37:18

oui c'est normal... d'après le premier commentaire, "ha au fait, le log du 'sniffage' est stocké dans 'C:\LogFileSniff.txt'"...
Sinon il suffisait de regarder le code source :)

Commentaire de cosmobob le 28/10/2007 18:17:10

t'as du hooker la mauvaise DLL... suivant la version de ton msn, c'est wsock32 ou ws2_32 qu'il faut hooker, comme expliqué plus haut... Pour connaitre la version, suffit d'utiliser dependency walker

Commentaire de supergrey le 10/11/2007 16:29:19

Est-ce que de la même manière on peut hooker internet explorer (wininet dapres ce qu'on m'a dit) ?

Commentaire de bogs01 le 13/01/2008 22:19:15

Bonjour a tous, je suis un peu nouveau sur ce site donc je ne sais pas si c'est le bon endroit pour poser une question.

En gros je voudrais creer un lib dll que j'appelerai wsock32.dll pour remplacer celle de windows et faire un include ou autre pour utiliser le wsock32.dll original (que j'aurai renomé) et ainsi pouvoir creer un log (ou modifier les paquets send/receive) de mes applications utilisant wsock32.dll.

L'idée serait que quand un tool appel la fonction send(ou receive) de ma lib ... je sauve le paquet dans un log et puis j'excute l'appel en appelant la vraie fonction.

(En gros je voudrais faire un truc du meme genre que cosmobob mais sans EXE, juste un DLL)

Je suis complement newbie en tout ce qui concerne les lib, les socket etc ... donc si vous pouviez m'aider et me dire si c'est possible a realiser ?

Merci d'avance et bravo a cosmobob pour son tool.

Commentaire de BruNews le 13/01/2008 23:29:16 administrateur CS

Me semble que Vista vérifie ses modules régulièrement, il remet le bon si besoin.
Prends la piste indiquée par Booster.

Commentaire de bibi77210 le 15/02/2008 22:12:03

bon jour tt le mon de voila jé telecharger le zip mé jé narrive pa a installer sa me telecharge le zip et pares il nya a pa de fichier .exe comment faut'il faire merci beaucou^p

Commentaire de BruNews le 15/02/2008 22:21:13 administrateur CS

Renomme wsock32_hook.ex_ en wsock32_hook.exe mais ceci dit il vaut mieux recompiler et tacher de comprendre ce que l'auteur montre avec ce code.

Commentaire de BruNews le 15/02/2008 23:27:58 administrateur CS

Me semble que tu t'es trompé de site, ici c'est pour entraide entre DEVELOPPEURS, pas pour les touristes. Nous ne sommes pas telecharger.com ou autre de ce genre.

Commentaire de Ratsi le 03/09/2008 20:39:44

Bonjour, je suis totalement nouveaux sur ce site et je souhaiterait me procurer un compilateur. Pourriez vous me conseiller car mon expérience dans ce domaine est plus que limité...

Commentaire de KoRsh le 07/01/2009 01:15:44

Tres bonne source malheureusement, chez moi, rien ne marche : pas moyen de rien compiler avec devcpp, ni codeblocks, et renommer le .ex\ en .exe me donne une erreur :
Le point d'entree de procedure _DLLInjecteddd@0 est introuvable dans la DLL wsock32_hook.dll

Commentaire de dark_cloud le 16/06/2009 00:17:36

Iop, cette source ne marche pas chez moi (WLM dernier en date).

J'ai implémenté une autre source, se basant dessus, sensée loguer uniquement les send, et ma fonction send (surchargeant l'originale) n'est jamais appelée (même si elle est bien remplacée, d'après mes logs). J'aurais dû faire un nouveau topic j'imagine, mais vu que le problème me semble identique...

(j'avais utilisé une autre méthode à un moment, qui me faisait planter wlm dès qu'un send était émis... bizarre...)

tchaw

ps: ceux qui essaient de compiler sans capter, histoire de r00ter leur p'tite soeur, s'pas forcément pédagogique :)

Commentaire de bogs01 le 21/06/2009 17:59:02

@Dark_cloud, ça fonctionne toujours très bien, même avec la dernière version de wlm.

Et effectivement à part 4 fonctions de wsock32(recv,recvfrom,...), toutes les autres ne sont que des passerelles et donc ne font que transiter par WSOCK32.dll pour aboutir soit dans WS2_32.dll soit dans MSWSOCK.dll. (donc à part ces 4 là, les autres pourraient très bien être hookées plus loin^^)

Et encore une fois féliciation à l'auteur de la source !
Sinon je me permets de proposer une autre alternative au hook de cette library simplement en recréant un fichier nommé wsock32.dll à joindre dans le dossier du programme cible. (ici WLM par exemple).

wsock32.cpp : http://pastebin.com/f7996c24d
wsock32.def : http://pastebin.com/f62f554a5
wsock32.rc : http://pastebin.com/f71ccd7c0

le tout est à compiler avec microsoft visual studio.

Et voici le fichier compilé : http://www.xoboot.com/others/src/wsock32.dll
(à placer dans le dossier WLM, une fois l'application lancé, ça crée un fichier LogFileSniff.log dans le repertoire courant... pour l'instant ça ne log que la fonction revc -> voir la source pour adapter aux fonctions de votre choix.)

Commentaire de dark_cloud le 16/05/2010 16:09:51

Je suis retombé sur cette source, et en essayant de l'adapter, je me heurte à un problème:

En essayant sur firefox, je me rend compte, avec un outputdebugstring, que tous les import descriptors ne sont pas trouvés, je ne vois que:
xul.dll
xpcom.dll
nspr4.dll
plc4.dll
USER32.dll
MOZCRT19.dll
KERNEL32.dll

et pas la pléthore d'autres dll, dont WS2_32.dll :/


Le code du début de la fonction:

for (; pImportDesc->Name; pImportDesc++)
   {
  
      PSTR pszModName = (PSTR)
         ((PBYTE) hmodCaller + pImportDesc->Name);

  OutputDebugString((char*)pszModName);

      if (lstrcmpiA(pszModName, DLLName) == 0)
         break;
   }


Merci d'avance ;)