[HOWTO] DLL beim Start injecten

Padmak · 02/12/2012, 13:57

Herzlich Willkommen zu einem neuen Release hier

"Ey was soll das werden?"
Ganz einfach: die Möglichkeit, beim Start von [beliebiges Programm einsetzen] eine DLL injecten/laden zu lassen, in diesem Tutorial am Beispiel von Metin (weils am gängigsten ist)

Voraussetzungen:
-

-

Code:

Spoiler

Code:

#include <windows.h>
#include <iostream>
#include <stdio.h>
#include <fcntl.h>

using namespace std;

//Prototypes:
void RedirectIOToConsole( void );
extern "C" BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved);

//Variables:
static const WORD MAX_CONSOLE_LINES = 500;

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)
{
    switch (fdwReason)
    {
    case DLL_PROCESS_ATTACH:
        RedirectIOToConsole();
        printf("Kleines Tutorial von Padmak von http://padmak.de/\n");
        break;

    case DLL_PROCESS_DETACH:
        // detach from process
        break;

    case DLL_THREAD_ATTACH:
        // attach to thread
        break;

    case DLL_THREAD_DETACH:
        // detach from thread
        break;
    }
    return TRUE; // succesful
}


void RedirectIOToConsole( void )
{
    int hConHandle;
    long lStdHandle;
    CONSOLE_SCREEN_BUFFER_INFO coninfo;
    FILE *fp;

    // allocate a console for this app
    AllocConsole();

    // set the screen buffer to be big enough to let us scroll text
    GetConsoleScreenBufferInfo(GetStdHandle(STD_OUTPUT_HANDLE),    &coninfo);
    coninfo.dwSize.Y = MAX_CONSOLE_LINES;
    SetConsoleScreenBufferSize(GetStdHandle(STD_OUTPUT_HANDLE),    coninfo.dwSize);

    // redirect unbuffered STDOUT to the console
    lStdHandle = (long)GetStdHandle(STD_OUTPUT_HANDLE);
    hConHandle = _open_osfhandle(lStdHandle, _O_TEXT);

    fp = _fdopen( hConHandle, "w" );

    *stdout = *fp;
    setvbuf( stdout, NULL, _IONBF, 0 );

    // redirect unbuffered STDIN to the console
    lStdHandle = (long)GetStdHandle(STD_INPUT_HANDLE);
    hConHandle = _open_osfhandle(lStdHandle, _O_TEXT);

    fp = _fdopen( hConHandle, "r" );

    *stdin = *fp;
    setvbuf( stdin, NULL, _IONBF, 0 );

    // redirect unbuffered STDERR to the console
    lStdHandle = (long)GetStdHandle(STD_ERROR_HANDLE);
    hConHandle = _open_osfhandle(lStdHandle, _O_TEXT);

    fp = _fdopen( hConHandle, "w" );

    *stderr = *fp;
    setvbuf( stderr, NULL, _IONBF, 0 );

    // make cout, wcout, cin, wcin, wcerr, cerr, wclog and clog
    // point to console as well
    ios::sync_with_stdio();
}

- Brain

Also, los gehts!

- Die Exe starten (ich geh jetzt immer von der Metin-Exe aus)
- Dem Bild folgen:

Spoiler

- Wir sind also soweit... Jetzt wirds lustig
Wir befinden uns grad am Entrypoint der Exe, der wird beim Start der Exe aufgerufen
Wir suchen uns nun zuerst die Adresse der LoadLibraryA-Funktion aus der Kernel32.dll:

Spoiler

- Unser Ergebnis:
CALL DWORD PTR DS:[73F36C]

- Was machen wir jetzt? GENAU, die Entrypoint-Funktion anzapfen
(Um wieder dort hin zu kommen, entweder STRG+G und 00641BD3 eingeben oder auf dem Nummernblock einmal - und einmal + drücken)

- Wir suchen uns eine Stelle, an der noch kein Code steht (vorzugsweise ganz am Ende der Datei)

- Ganz runterscrollen, dann wieder bisschen hoch, bis diese ganzen "DB 00" in Code übergehen (bei mir startets ab 0073E45A)
Diese Adresse brauchen wir jetzt

- Wir gehen wieder in die EP-Funktion (STRG+G -> 00641BD3 )

- Wir brauchen nun eine Anweisung mit 5 Bytes, die wir durch unseren Jump ersetzen können
Ich nehme:
00641CAE E8 B1500000 CALL 00646D64
WICHTIG!!!! "CALL 00646D64" aufsparen, das müssen wir danach natürlich ausführen

- Leertaste in der Zeile die ich hier grad gepostet hab (00641CAE)

- Den CALL durch JMP 0073E45A ersetzen (Die Adresse mit DB 00)

- Dem JMP durch einen Enter-Klick folgen

- Folgenden Code hinsetzen: (am besten Zeile für Zeile abschreiben)
CALL 00646D64
PUSHAD
PUSH 11111111
CALL DWORD PTR DS:[73F36C]
CMP EAX, 0
JE 00000000
POPAD
JMP 00641CB3

Erklärung:
CALL 00646D64 - Der vorherige überschriebene CALL, ohne den kanns abschmieren
PUSHAD - Speichert alle Register, wichtig!
PUSH 11111111 - Eine zufällige Adresse, die wird noch geändert!
CALL DWORD PTR DS:[73F36C] - Der CALL zur LoadLibraryA von vorhin
CMP EAX, 0 - Da der Rückgabewert NULL bei einem Fail ist, stürzt der Client ab falls die DLL nicht geladen werden konnte
(Siehe

)
JE 00000000 - Lässt den Client abstürzen, falls die DLL nicht geladen wurde (JE = Jump if equal)
POPAD - ruft die von PUSHAD gespeicherten Register ab
JMP 00641CB3 - Der Sprung zurück (Einfach eine Zeile unter dem vorherigen platzierten JMP)

- Was geschieht nun mit PUSH 11111111? Natürlich wollen wir hier unseren DLL-Namen pushen
Dazu gehen wir zu 0073E47A (direkt unter JMP 00641CB3) und drücken STRG+E
Hier öffnet sich ein kleiner Dialog zur Byte-Editierung
Wir nehmen einfach unseren DLL-Namen (bei mir tut_dll.dll) und schreiben ihn in die oberste Edit-Box (bei ASCII) + drücken auf OK

- Die Adresse, wo der String beginnt (0073E47A) jetzt kopieren und
PUSH 11111111 durch
PUSH 0073E47Aersetzen
Neben dem PUSH sollte jetzt rechts "ASCII "tut_dll.dll"" erscheinen
Wenn ja -> alles passt!

- Als letztes noch die DLL ins Verzeichnis der EXE kopieren und die EXE aus Olly speichern.
Dazu einfach rechtsklick irgendwo ins Fenster -> Edit -> Select All -> Rechtsklick ins Fenster -> Edit -> Copy to Executable -> Rechtsklick in das neue Fenster -> Save File... -> Ich speicher es als metin2client_injector.exe ab

Olly aber noch nicht schließen, falls noch Fehler drin wären müsste man ansonsten von vorne beginnen!

Wenn alles richtig funktioniert hat, geht nun ein schönes kleines schwarzes Fenster auf

(Die RedirectIOToConsole-Funktion ist zwar aus Google, für DLLs zum Debugging aber unglaublich nützlich!)
Ich hoffe dass das hier einigermaßen verständlich war

Wenn nicht, einfach fragen

Padmak

.IanCaVence · 02/12/2012, 13:57

Nice

Padmak · 02/12/2012, 13:59

Du hast das doch noch nichtmal durchgelesen xD

Padmak

Hanashi · 02/12/2012, 14:00

Sehr nice Pad Pad

LG Hanashi

.Nagato · 02/12/2012, 14:01

Interessant - danke Pad.

passy305 · 02/12/2012, 14:02

Ich finds gut und leicht verständlich erklärt

~~FbFunnY~~ · 02/12/2012, 14:03

sehr nett gemacht und geschrieben

ToBii™ · 02/12/2012, 14:07

Padmak eine Frage also zb. wenn ich mit deiner Dll den Ug Mt2 Injecten will geht es nicht , würde es dann mit dem Tut hier funktionieren?
Kenne mich in dem Bereich nicht so gut aus.

Padmak · 02/12/2012, 14:07

Bei UGMT2 wird das so nicht funktionieren, da die EXE gepackt ist :<

Padmak

.Keyto · 02/12/2012, 14:08

Jo ist gut erklärt danke .

.Iscariot · 02/12/2012, 14:09

super danke usw.

Jetzt verstht das sogar ein noob wie ich O.o
Respekt 1!11!

exi° · 02/12/2012, 14:20

Sehr sehr gut & sehr sehr hilfreich

Jan² · 02/12/2012, 14:24

Quote:

Originally Posted by Padmak

Bei UGMT2 wird das so nicht funktionieren, da die EXE gepackt ist :<

Padmak

Ich wollte gerade einwerfen, dass man sich das bei uns sparen kam, da las ich deinen Post :P

Fear *_* · 02/12/2012, 14:26

coooollleee Sache

~~ShyLu~~ · 02/12/2012, 14:38

ich versteh da nur Bahnhof xD kann man damit jetz " fast " jeden Clienten mit entpacken oder was? ^.^